Windows Defender быў узламаны для разгортвання гэтага небяспечнага ПА-вымагальніка

Даследчыкі выявілі, што ўразлівасці Log4j цяпер выкарыстоўваюцца для разгортвання маякоў Cobalt Strike праз інструмент каманднага радка Windows Defender.

Даследчыкі кібербяспекі з Sentinel Labs нядаўна заўважылі новы метад, выкарыстаны невядомым суб'ектам пагрозы, фінальнай кропкай якога стала разгортванне праграмы-вымагальніка LockBit 3.0.

Гэта працуе наступным чынам: удзельнік пагрозы будзе выкарыстоўваць log4shell (як называюць Log4j zero-day), каб атрымаць доступ да мэтавай канчатковай кропкі і атрымаць неабходныя прывілеі карыстальніка. Калі гэта будзе ліквідавана, яны будуць выкарыстоўваць PowerShell для загрузкі трох асобных файлаў: файла ўтыліты Windows CL (чысты), файла DLL (mpclient.dll) і файла LOG (фактычны маяк Cobalt Strike).

Cobalt Strike з бакавой загрузкай

Затым яны запускаюць MpCmdRun.exe, утыліту каманднага радка, якая выконвае розныя задачы для Microsoft Defender. Гэтая праграма звычайна загружае законны файл DLL - mpclient.dll, які неабходны для правільнай працы. Але ў гэтым выпадку праграма загрузіць аднайменную шкоднасную DLL, спампаваную разам з праграмай.

Гэтая DLL будзе мець загрузку файла LOG і расшыфраваць зашыфраваную карысную нагрузку Cobalt Strike.

Гэта метад, вядомы як бакавая загрузка.

Звычайна гэты філіял LockBit выкарыстоўваў інструменты каманднага радка VMware для бакавой загрузкі маякоў Cobalt Strike, BleepingComputer кажа, таму пераход на Windows Defender некалькі незвычайны. Выданне мяркуе, што змяненне было ўнесена, каб абыйсці мэтанакіраваныя сродкі абароны, якія нядаўна прадставіла VMware. Тым не менш, выкарыстанне інструментаў для жыцця па-за межамі зямлі, каб пазбегнуць выяўлення антывірусам (адкрываецца ў новай укладцы) або шкоднасныя праграмы (адкрываецца ў новай укладцы) Паслугі абароны з'яўляюцца «надзвычай часта» ў нашы дні, заключае выданне, заклікаючы прадпрыемствы праверыць свае сродкі кантролю бяспекі і быць пільнымі, адсочваючы, як (злоўжываюць) выкарыстоўваюцца законныя выкананыя файлы.

Нягледзячы на тое, што Cobalt Strike з'яўляецца законным інструментам, які выкарыстоўваецца для тэставання на пранікненне, ён стаў даволі сумна вядомым, бо паўсюль ім злоўжываюць пагрозы. Ён пастаўляецца з шырокім спісам функцый, якія кіберзлачынцы могуць выкарыстоўваць, каб выявіць мэтавую сетку, незаўважанымі, і перамяшчацца праз канечныя кропкі, калі яны рыхтуюцца да крадзяжу даных і разгортвання праграм-вымагальнікаў.

Via: BleepingComputer (адкрываецца ў новай укладцы)

крыніца

папярэдняе паведамленне

наступнае паведамленне

Keep Calm and Stay Smart

08:35

Наша каманда прафесійна тэстуе сотні праграмнага забеспячэння, паслуг і бізнес-стратэгій кожны год з дапамогай нашых уласных кансультантаў і групы бізнес-лідэраў.

Мы строга выбіраем рашэнні толькі з самым высокім суадносінамі выдаткаў і выгад, якія простыя ў выкарыстанні, якія годна інтэгруюцца ў любы тып арганізацыі і якія ўключаюць вядучыя функцыі, якія гарантуюць вам заставацца на вяршыні свайго бізнес-сектара.

Windows Defender быў узламаны для разгортвання гэтага небяспечнага ПА-вымагальніка

Абавязковае праграмнае забеспячэнне ў 2024 годзе

Лепшыя катэгорыі

Апошнія водгукі

Відэа-тызер Samsung Galaxy Z Flip 5, напярэдадні мерапрыемства Galaxy Unpacked, дэманструецца новы дызайн завес, варыянты колеру

Twitter абмяжоўвае колькасць DM, якія могуць адпраўляць неправераныя карыстальнікі

Мой любімы тэлефон Android можа рабіць тое, чаго не можа мой iPhone 14 Pro Max

ChatGPT для Android запускаецца на наступным тыдні, і вы можаце папярэдне зарэгістравацца зараз

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A з Google TV, калонкі магутнасцю 20 Вт прадстаўлены ў Індыі: цана, тэхнічныя характарыстыкі

Гэтая ядомая батарэя магла б стаць крыніцай энергіі ў свеце дыягностыкі і ўстойлівай энергетыкі