Windows Defender je hakiran kako bi implementirao ovaj opasni ransomware

Istraživači su otkrili da se ranjivosti Log4j sada koriste za implementaciju Cobalt Strike beacon-a putem alata naredbenog retka Windows Defender.

Istraživači kibernetičke sigurnosti iz Sentinel Labsa nedavno su uočili novu metodu koju je koristio nepoznati akter prijetnje, a kraj igre je implementacija LockBit 3.0 ransomwarea.

Funkcionira ovako: akter prijetnje bi iskoristio log4shell (kako se naziva Log4j zero-day) da dobije pristup ciljnoj krajnjoj točki i dobije potrebne korisničke privilegije. Nakon što to uklone, koristit će PowerShell za preuzimanje tri zasebne datoteke: Windows CL uslužna datoteka (čista), DLL datoteka (mpclient.dll) i LOG datoteka (stvarni Cobalt Strike beacon).

Cobalt Strike s bočnim punjenjem

Zatim bi pokrenuli MpCmdRun.exe, uslužni program naredbenog retka koji obavlja razne zadatke za Microsoft Defender. Taj bi program obično učitao legitimnu DLL datoteku – mpclient.dll, koju treba ispravno pokrenuti. Ali u ovom slučaju, program bi učitao zlonamjerni DLL istog imena, preuzet zajedno s programom.

Taj DLL će imati učitavanje LOG datoteke i dešifrirati šifrirani korisni teret Cobalt Strike.

To je metoda poznata kao bočno učitavanje.

Obično je ova podružnica LockBita koristila VMware-ove alate naredbenog retka za bočno učitavanje Cobalt Strike beacona, BleepingComputer kaže, pa je prelazak na Windows Defender pomalo neobičan. Publikacija nagađa da je promjena napravljena kako bi se zaobišle ciljane zaštite koje je VMware nedavno uveo. Ipak, korištenje alata za život izvan zemlje kako bi se izbjeglo otkrivanje antivirusa (otvara se u novoj kartici) ili malware (otvara se u novoj kartici) usluge zaštite su ovih dana "izuzetno uobičajene", zaključuje publikacija, pozivajući tvrtke da provjere svoje sigurnosne kontrole i budu oprezne s praćenjem kako se legitimne izvršne datoteke (zlo)upotrebljavaju.

Iako je Cobalt Strike legitiman alat koji se koristi za testiranje penetracije, postao je prilično ozloglašen jer ga zlorabe akteri prijetnji posvuda. Dolazi s opsežnim popisom značajki koje kibernetički kriminalci mogu koristiti za mapiranje ciljne mreže, neotkriveni, i pomicanje bočno preko krajnjih točaka, dok se pripremaju ukrasti podatke i implementirati ransomware.

Via: BleepingComputer (otvara se u novoj kartici)

izvor

Prethodni post

Sljedeći post

Windows Defender je hakiran kako bi implementirao ovaj opasni ransomware

Softver koji morate imati u 2024

Top kategorije

Najnovije recenzije

Samsung Galaxy Z Flip 5 Teaser video, uoči događaja Galaxy Unpacked, prikazuje novi dizajn šarki, mogućnosti boja

Twitter ograničava broj DM poruka koje neprovjereni korisnici mogu slati

Moj omiljeni Android telefon može raditi stvari koje moj iPhone 14 Pro Max ne može

ChatGPT za Android pokreće se sljedeći tjedan, a sada se možete unaprijed registrirati

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A s Google TV-om, 20W zvučnici lansirani u Indiji: : Cijena, Specifikacije

Ova jestiva baterija mogla bi pokretati svijet dijagnostike i održive energije