Windows Defender hackeado para desplegar este peligroso ransomware

Las vulnerabilidades de Log4j ahora se están utilizando para implementar balizas Cobalt Strike a través de la herramienta de línea de comandos de Windows Defender, según descubrieron los investigadores.

Los investigadores de seguridad cibernética de Sentinel Labs detectaron recientemente un nuevo método, empleado por un actor de amenazas desconocido, cuyo objetivo final era la implementación del ransomware LockBit 3.0.

Funciona así: el actor de amenazas aprovecharía log4shell (como se denomina el día cero de Log4j) para obtener acceso a un punto final de destino y obtener los privilegios de usuario necesarios. Una vez que esté fuera del camino, usarían PowerShell para descargar tres archivos separados: un archivo de utilidad CL de Windows (limpio), un archivo DLL (mpclient.dll) y un archivo LOG (la baliza Cobalt Strike real).

Golpe de cobalto de carga lateral

Luego ejecutarían MpCmdRun.exe, una utilidad de línea de comandos que realiza varias tareas para Microsoft Defender. Ese programa generalmente cargaría un archivo DLL legítimo: mpclient.dll, que necesita para ejecutarse correctamente. Pero en este caso, el programa cargaría una DLL maliciosa del mismo nombre, descargada junto con el programa.

Esa DLL tendrá la carga del archivo LOG y descifrará una carga útil cifrada de Cobalt Strike.

Es un método conocido como carga lateral.

Por lo general, esta filial de LockBit usaba las herramientas de línea de comandos de VMware para cargar lateralmente las balizas Cobalt Strike, BleepingComputer dice, por lo que el cambio a Windows Defender es algo inusual. La publicación especula que el cambio se realizó para eludir las protecciones específicas que VMware introdujo recientemente. Aún así, usar herramientas de vivir fuera de la tierra para evadir ser detectado por antivirus (se abre en una pestaña nueva) o malware (se abre en una pestaña nueva) Los servicios de protección son "extremadamente comunes" en estos días, concluye la publicación, instando a las empresas a verificar sus controles de seguridad y estar atentos al seguimiento de cómo se (ab)utilizan los ejecutables legítimos.

Aunque Cobalt Strike es una herramienta legítima, utilizada para pruebas de penetración, se ha vuelto bastante infame ya que los actores de amenazas en todas partes abusan de ella. Viene con una extensa lista de funciones que los ciberdelincuentes pueden usar para mapear la red de destino, sin ser detectados, y moverse lateralmente a través de los puntos finales, mientras se preparan para robar datos e implementar ransomware.

Vía: BleepingComputer (se abre en una pestaña nueva)

Fuente

Publicación anterior

Publicación siguiente

Windows Defender hackeado para desplegar este peligroso ransomware

Software imprescindible en 2024

Categorías superiores

Últimas opiniones

El video teaser del Samsung Galaxy Z Flip 5, antes del evento Galaxy Unpacked, muestra un nuevo diseño de bisagra y opciones de color

Twitter está limitando la cantidad de DM que los usuarios no verificados pueden enviar

Mi teléfono Android favorito puede hacer cosas que mi iPhone 14 Pro Max no puede

ChatGPT para Android se lanzará la próxima semana y puede registrarse previamente ahora

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A con Google TV, altavoces de 20 W lanzados en India: Precio, especificaciones

Esta batería comestible podría impulsar el mundo del diagnóstico y la energía sostenible