Log4j નબળાઈઓનો ઉપયોગ હવે વિન્ડોઝ ડિફેન્ડર કમાન્ડ લાઇન ટૂલ દ્વારા કોબાલ્ટ સ્ટ્રાઈક બીકોન્સને જમાવવા માટે કરવામાં આવી રહ્યો છે, સંશોધકોએ શોધી કાઢ્યું છે.
સેન્ટીનેલ લેબ્સના સાયબર સુરક્ષા સંશોધકોએ તાજેતરમાં એક નવી પદ્ધતિ શોધી કાઢી હતી, જે એક અજાણ્યા ખતરનાક અભિનેતા દ્વારા નિયુક્ત કરવામાં આવી હતી, જેમાં અંતિમ રમત લોકબીટ 3.0 રેન્સમવેરની જમાવટ હતી.
તે આના જેવું કામ કરે છે: ધમકાવનાર અભિનેતા log4shell નો લાભ લેશે (જેમ કે Log4j શૂન્ય-દિવસ ડબ કરવામાં આવે છે) લક્ષ્ય અંતિમ બિંદુ સુધી પહોંચવા અને જરૂરી વપરાશકર્તા વિશેષાધિકારો મેળવવા માટે. એકવાર તે બહાર નીકળી જાય પછી, તેઓ ત્રણ અલગ-અલગ ફાઇલો ડાઉનલોડ કરવા માટે પાવરશેલનો ઉપયોગ કરશે: Windows CL યુટિલિટી ફાઇલ (ક્લીન), એક DLL ફાઇલ (mpclient.dll), અને LOG ફાઇલ (વાસ્તવિક કોબાલ્ટ સ્ટ્રાઇક બીકન).
સાઇડ-લોડિંગ કોબાલ્ટ સ્ટ્રાઈક
પછી તેઓ MpCmdRun.exe ચલાવશે, એક કમાન્ડ લાઇન યુટિલિટી જે Microsoft Defender માટે વિવિધ કાર્યો કરે છે. તે પ્રોગ્રામ સામાન્ય રીતે કાયદેસરની DLL ફાઇલ લોડ કરશે - mpclient.dll, જે તેને યોગ્ય રીતે ચલાવવાની જરૂર છે. પરંતુ આ ઉદાહરણમાં, પ્રોગ્રામ પ્રોગ્રામ સાથે ડાઉનલોડ કરેલ સમાન નામનું દૂષિત DLL લોડ કરશે.
તે DLL પાસે LOG ફાઇલ લોડ હશે અને એન્ક્રિપ્ટેડ કોબાલ્ટ સ્ટ્રાઈક પેલોડને ડિક્રિપ્ટ કરશે.
તે સાઇડ-લોડિંગ તરીકે ઓળખાતી પદ્ધતિ છે.
સામાન્ય રીતે, આ LockBit સંલગ્ન કોબાલ્ટ સ્ટ્રાઈક બેકોન્સને સાઇડ-લોડ કરવા માટે VMware ના કમાન્ડ લાઇન ટૂલ્સનો ઉપયોગ કરે છે, સ્લીપિંગ કમ્પ્યુટર કહે છે, તેથી વિન્ડોઝ ડિફેન્ડર પર સ્વિચ કરવું કંઈક અંશે અસામાન્ય છે. પ્રકાશન અનુમાન કરે છે કે VMware તાજેતરમાં રજૂ કરાયેલ લક્ષિત સુરક્ષાને બાયપાસ કરવા માટે ફેરફાર કરવામાં આવ્યો હતો. તેમ છતાં, એન્ટિવાયરસ દ્વારા શોધી કાઢવામાં આવતા બચવા માટે લિવિંગ-ઓફ-ધ-લેન્ડ ટૂલ્સનો ઉપયોગ કરવો (નવી ટેબમાં ખુલે છે) અથવા માલવેર (નવી ટેબમાં ખુલે છે) આ દિવસોમાં સંરક્ષણ સેવાઓ "અત્યંત સામાન્ય" છે, પ્રકાશન તારણ આપે છે, વ્યવસાયોને તેમના સુરક્ષા નિયંત્રણો તપાસવા અને કાયદેસર એક્ઝિક્યુટેબલ્સનો (એબી) ઉપયોગ કેવી રીતે કરવામાં આવે છે તે અંગે સતર્ક રહેવાની વિનંતી કરે છે.
કોબાલ્ટ સ્ટ્રાઈક એક કાયદેસરનું સાધન હોવા છતાં, તેનો ઉપયોગ ઘૂંસપેંઠ પરીક્ષણ માટે થાય છે, તે ખૂબ જ કુખ્યાત બની ગયું છે કારણ કે દરેક જગ્યાએ ધમકી આપનારા કલાકારો દ્વારા તેનો દુરુપયોગ કરવામાં આવે છે. તે સુવિધાઓની વિસ્તૃત સૂચિ સાથે આવે છે જેનો ઉપયોગ સાયબર અપરાધીઓ લક્ષ્ય નેટવર્કને મેપ કરવા માટે કરી શકે છે, શોધી શકાતું નથી, અને અંતિમ બિંદુઓ પર બાજુથી ખસેડી શકે છે, કારણ કે તેઓ ડેટાની ચોરી કરવા અને રેન્સમવેર જમાવવાની તૈયારી કરે છે.
વાયા: સ્લીપિંગ કમ્પ્યુટર (નવી ટેબમાં ખુલે છે)