Windows Defender piraté pour déployer ce rançongiciel dangereux

Les vulnérabilités Log4j sont maintenant utilisées pour déployer des balises Cobalt Strike via l'outil de ligne de commande Windows Defender, ont découvert des chercheurs.

Les chercheurs en cybersécurité de Sentinel Labs ont récemment repéré une nouvelle méthode, employée par un acteur menaçant inconnu, la fin du jeu étant le déploiement du rançongiciel LockBit 3.0.

Cela fonctionne comme ceci : l'acteur de la menace utiliserait log4shell (comme le log4j zero-day est surnommé) pour accéder à un point de terminaison cible et obtenir les privilèges d'utilisateur nécessaires. Une fois cela fait, ils utiliseraient PowerShell pour télécharger trois fichiers distincts : un fichier utilitaire Windows CL (propre), un fichier DLL (mpclient.dll) et un fichier LOG (la balise Cobalt Strike réelle).

Cobalt Strike à chargement latéral

Ils exécuteraient ensuite MpCmdRun.exe, un utilitaire de ligne de commande qui effectue diverses tâches pour Microsoft Defender. Ce programme charge généralement un fichier DLL légitime - mpclient.dll, dont il a besoin pour s'exécuter correctement. Mais dans ce cas, le programme chargerait une DLL malveillante du même nom, téléchargée avec le programme.

Cette DLL chargera le fichier LOG et décryptera une charge utile Cobalt Strike cryptée.

C'est une méthode connue sous le nom de chargement latéral.

Habituellement, cette filiale de LockBit utilisait les outils de ligne de commande de VMware pour charger latéralement les balises Cobalt Strike, BleepingComputer dit, donc le passage à Windows Defender est quelque peu inhabituel. La publication suppose que la modification a été apportée pour contourner les protections ciblées que VMware a récemment introduites. Pourtant, utiliser des outils vivant hors de la terre pour éviter d'être détecté par un antivirus (s'ouvre dans un nouvel onglet) ou malware (s'ouvre dans un nouvel onglet) Les services de protection sont "extrêmement courants" de nos jours, conclut la publication, exhortant les entreprises à vérifier leurs contrôles de sécurité et à être vigilantes quant au suivi de la façon dont les exécutables légitimes sont (abus) utilisés.

Même si Cobalt Strike est un outil légitime, utilisé pour les tests d'intrusion, il est devenu assez tristement célèbre car il est abusé par des acteurs de la menace partout dans le monde. Il est livré avec une longue liste de fonctionnalités que les cybercriminels peuvent utiliser pour cartographier le réseau cible, sans être détecté, et se déplacer latéralement entre les terminaux, alors qu'ils se préparent à voler des données et à déployer des ransomwares.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Identifier

Article précédent

PRO SUIVANT

Windows Defender piraté pour déployer ce rançongiciel dangereux

Les logiciels indispensables en 2024

Top catégories

Derniers commentaires

Vidéo teaser Samsung Galaxy Z Flip 5, avant l'événement Galaxy Unpacked, montre un nouveau design de charnière, des options de couleur

Twitter limite le nombre de DM que les utilisateurs non vérifiés peuvent envoyer

Mon téléphone Android préféré peut faire des choses que mon iPhone 14 Pro Max ne peut pas

ChatGPT pour Android sera lancé la semaine prochaine et vous pouvez vous préinscrire maintenant

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A avec Google TV, haut-parleurs 20W lancés en Inde : : Prix, Spécifications

Cette pile comestible pourrait alimenter le monde du diagnostic et de l'énergie durable