Windows Defender е хакнат, за да внедри този опасен ransomware

Уязвимостите на Log4j сега се използват за внедряване на маяци на Cobalt Strike чрез инструмента за команден ред на Windows Defender, установиха изследователи.

Изследователи на киберсигурността от Sentinel Labs наскоро забелязаха нов метод, използван от неизвестна заплаха, като крайната цел е внедряването на рансъмуер LockBit 3.0.

Работи по следния начин: актьорът на заплахата ще използва log4shell (както се нарича Log4j zero-day), за да получи достъп до целева крайна точка и да получи необходимите потребителски привилегии. След като това бъде премахнато, те биха използвали PowerShell, за да изтеглят три отделни файла: помощен файл на Windows CL (чист), DLL файл (mpclient.dll) и LOG файл (действителният маяк на Cobalt Strike).

Cobalt Strike със странично зареждане

След това ще стартират MpCmdRun.exe, помощна програма от командния ред, която изпълнява различни задачи за Microsoft Defender. Тази програма обикновено зарежда легитимен DLL файл – mpclient.dll, който трябва да стартира правилно. Но в този случай програмата ще зареди злонамерен DLL със същото име, изтеглен заедно с програмата.

Този DLL ще има зареждане на LOG файла и ще дешифрира шифрован полезен товар Cobalt Strike.

Това е метод, известен като странично зареждане.

Обикновено този филиал на LockBit използва инструментите на командния ред на VMware за странично зареждане на маяци на Cobalt Strike, BleepingComputer казва, така че преминаването към Windows Defender е малко необичайно. Публикацията спекулира, че промяната е направена, за да се заобиколят целевите защити, които VMware въведе наскоро. И все пак, използването на инструменти за живеене извън земята, за да избегнете откриването от антивирусната програма (отваря се в нов раздел) или зловреден софтуер (отваря се в нов раздел) услугите за защита са „изключително често срещани“ в наши дни, заключава публикацията, призовавайки бизнеса да проверява своите контроли за сигурност и да бъде бдителен при проследяване на това как (злоупотребяват) се използват законни изпълними файлове.

Въпреки че Cobalt Strike е легитимен инструмент, използван за тестове за проникване, той стана доста скандален, тъй като се злоупотребява от заплахи навсякъде. Той идва с обширен списък от функции, които киберпрестъпниците могат да използват, за да начертаят целевата мрежа, незабелязани, и да се движат странично през крайни точки, докато се подготвят да откраднат данни и внедрят ransomware.

Via: BleepingComputer (отваря се в нов раздел)

източник

Предишна публикация

Следващ пост

Keep Calm and Stay Smart

08:35

Нашият екип професионално тества стотици софтуер, услуги и бизнес стратегии всяка година чрез нашите собствени консултанти и група от бизнес лидери.

Ние избираме строго решения само с най-високо съотношение цена-полза, които са лесни за използване, които се интегрират прилично във всякакъв тип организация и които включват водещи функции, за да ви гарантират да останете на върха на вашия бизнес сектор.

Windows Defender е хакнат, за да внедри този опасен ransomware

Задължителен софтуер през 2024 г

Топ категории

Най-новите мнения

Тийзър видео на Samsung Galaxy Z Flip 5, преди събитието Galaxy Unpacked, показва нов дизайн на панти, цветови опции

Twitter ограничава броя на DM съобщенията, които непотвърдените потребители могат да изпращат

Любимият ми телефон с Android може да прави неща, които моят iPhone 14 Pro Max не може

ChatGPT за Android стартира следващата седмица и можете да се регистрирате предварително сега

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A с Google TV, 20W високоговорители, лансирани в Индия: Цена, Спецификации

Тази ядивна батерия може да захранва света на диагностиката и устойчивата енергия