Windows Defender je hakovan za implementaciju ovog opasnog ransomwarea

Log4j ranjivosti se sada koriste za postavljanje Cobalt Strike beacons-a putem alata komandne linije Windows Defender, otkrili su istraživači.

Istraživači kibernetičke sigurnosti iz Sentinel Labsa nedavno su uočili novu metodu koju koristi nepoznati akter prijetnje, a kraj igre je postavljanje LockBit 3.0 ransomwarea.

Funkcioniše ovako: akter pretnje bi iskoristio log4shell (kako je nazvan Log4j zero-day) da bi dobio pristup ciljnoj krajnjoj tački i dobio potrebne korisničke privilegije. Kada se to ukloni, koristili bi PowerShell za preuzimanje tri odvojene datoteke: Windows CL uslužni fajl (čist), DLL fajl (mpclient.dll) i LOG fajl (stvarni Cobalt Strike beacon).

Cobalt Strike sa bočnim punjenjem

Zatim bi pokrenuli MpCmdRun.exe, uslužni program komandne linije koji obavlja različite zadatke za Microsoft Defender. Taj program obično učitava legitimnu DLL datoteku – mpclient.dll, koju treba da ispravno pokrene. Ali u ovom slučaju, program bi učitao zlonamjerni DLL istog imena, preuzet zajedno s programom.

Taj DLL će učitati LOG datoteku i dešifrirati šifrirani Cobalt Strike korisni teret.

To je metoda poznata kao bočno učitavanje.

Obično je ova podružnica LockBita koristila VMwareove alate komandne linije za bočno učitavanje Cobalt Strike signala, BleepingComputer kaže, pa je prelazak na Windows Defender pomalo neobičan. Publikacija spekuliše da je promena napravljena kako bi se zaobišle ciljane zaštite koje je VMware nedavno uveo. Ipak, korištenje alata za život izvan zemlje kako bi se izbjeglo da vas antivirus otkrije (otvara se u novoj kartici) ili malware (otvara se u novoj kartici) Usluge zaštite su „izuzetno uobičajene“ ovih dana, zaključuje publikacija, pozivajući kompanije da provjere svoje sigurnosne kontrole i budu budne u praćenju načina na koji se legitimni izvršni fajlovi (zlo)upotrebljavaju.

Iako je Cobalt Strike legitiman alat, koji se koristi za testiranje penetracije, postao je prilično ozloglašen jer ga svuda zloupotrebljavaju akteri prijetnji. Dolazi sa opsežnom listom funkcija koje sajber kriminalci mogu koristiti za mapiranje ciljne mreže, neotkrivene, i bočno kretanje preko krajnjih tačaka, dok se pripremaju za krađu podataka i implementaciju ransomware-a.

Via: BleepingComputer (otvara se u novoj kartici)

izvor

Prethodni post

Windows Defender je hakovan za implementaciju ovog opasnog ransomwarea

Softver koji morate imati u 2024

Top kategorije

Latest reviews

Samsung Galaxy Z Flip 5 Teaser Video, uoči Galaxy Unpacked događaja, pokazuje novi dizajn šarki, opcije boja

Twitter ograničava broj DM poruka koje neprovjereni korisnici mogu poslati

Moj omiljeni Android telefon može raditi stvari koje moj iPhone 14 Pro Max ne može

ChatGPT za Android počinje sljedeće sedmice, a sada se možete unaprijed registrovati

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A sa Google TV-om, 20W zvučnici lansirani u Indiji: : Cijena, specifikacije

Ova jestiva baterija mogla bi napajati svijet dijagnostike i održive energije