Windows Defender がハッキングされ、この危険なランサムウェアが展開されました

Log4j の脆弱性が、Windows Defender コマンドラインツールを介して Cobalt Strike ビーコンを展開するために使用されていることが研究者によって発見されました。

Sentinel Labs のサイバーセキュリティ研究者は最近、未知の脅威アクターによって採用された新しい方法を発見しました。最終的には LockBit 3.0 ランサムウェアが展開されました。

これは次のように機能します。攻撃者は、log4shell (Log4j ゼロデイと呼ばれる) を利用して、標的のエンドポイントにアクセスし、必要なユーザー権限を取得します。それが終わったら、PowerShell を使用して、Windows CL ユーティリティファイル (クリーン)、DLL ファイル (mpclient.dll)、および LOG ファイル (実際の Cobalt Strike ビーコン) の XNUMX つのファイルをダウンロードします。

サイドローディングコバルトストライク

次に、Microsoft Defender のさまざまなタスクを実行するコマンドラインユーティリティである MpCmdRun.exe を実行します。通常、そのプログラムは正規の DLL ファイル (mpclient.dll) をロードしますが、これを正しく実行する必要があります。しかし、この場合、プログラムは、プログラムと一緒にダウンロードされた同じ名前の悪意のある DLL をロードします。

その DLL は LOG ファイルをロードし、暗号化された Cobalt Strike ペイロードを復号化します。

サイドローディングと呼ばれる方法です。

通常、この LockBit アフィリエイトは、VMware のコマンドラインツールを使用して、Cobalt Strike ビーコンをサイドロードします。 逃げるコンピュータ と言っているので、Windows Defender への切り替えはやや異例です。この出版物は、VMware が最近導入した対象を絞った保護をバイパスするために変更が行われたと推測しています。それでも、アンチウイルスによる検出を回避するために、土地を離れたツールを使用する（新しいタブで開きます）またはマルウェア（新しいタブで開きます）保護サービスは最近「非常に一般的」になっていると同書は結論付けており、企業はセキュリティ管理を確認し、正当な実行可能ファイルがどのように (悪用) 使用されているかを追跡することに注意を払う必要があります。

Cobalt Strike は侵入テストに使用される正当なツールですが、あらゆる場所で攻撃者によって悪用されているため、非常に悪名高いものになっています。サイバー犯罪者がデータを盗んでランサムウェアを展開する準備をする際に、検出されずにターゲットネットワークをマッピングし、エンドポイント間を横方向に移動するために使用できる機能の広範なリストが付属しています。

経由：逃げるコンピュータ（新しいタブで開きます）

ソース