攻撃者は、XSLファイルにスクリプトを含むアプリケーション制御をバイパスし、コード実行を曖昧にする可能性があります。
マイターからT1220で管理している攻撃です。
1) XSL Script Processing 技法を使用した悪性ファイルの実行
2) 攻撃ログがPLURAで正常に収集されたか確認
3) PLURAマイタアタック、ホストフィルタを活用した分析方法
[1] タリウム(Thallium)組織、XSL Script Processing攻撃遂行 [T1220] http://blog.plura.io/?p=13301
[2] ランサムウェア検知、相関分析機能の使い方 (2021.01.27) http://blog.plura.io/?p=13497