Windows Defender disusupi kanggo nyebarake ransomware mbebayani iki

Kerentanan Log4j saiki digunakake kanggo masang beacon Cobalt Strike liwat alat baris perintah Windows Defender, peneliti nemokake.

Peneliti cybersecurity saka Sentinel Labs bubar nemokake cara anyar, sing digunakake dening aktor ancaman sing ora dingerteni, kanthi endgame yaiku penyebaran ransomware LockBit 3.0.

Kerjane kaya iki: aktor ancaman bakal nggunakake log4shell (minangka Log4j zero-day dijuluki) kanggo entuk akses menyang titik pungkasan target, lan entuk hak istimewa pangguna sing dibutuhake. Sawise metu saka dalan, padha bakal nggunakake PowerShell kanggo ndownload telung file sing kapisah: file sarana Windows CL (resik), file DLL (mpclient.dll), lan file LOG (suar Cobalt Strike sing nyata).

Side-loading Cobalt Strike

Dheweke banjur mbukak MpCmdRun.exe, sarana baris perintah sing nindakake macem-macem tugas kanggo Microsoft Defender. Program kasebut biasane mbukak file DLL sing sah - mpclient.dll, sing kudu ditindakake kanthi bener. Nanging ing kasus iki, program bakal mbukak DLL angkoro kanthi jeneng sing padha, diundhuh bebarengan karo program kasebut.

DLL kasebut bakal ngemot file LOG lan dekripsi muatan Cobalt Strike sing dienkripsi.

Iku cara sing dikenal minangka sideloading.

Biasane, afiliasi LockBit iki nggunakake alat baris perintah VMware kanggo ngunggahake beacon Cobalt Strike, BleepingComputer ngandika, supaya ngalih menyang Windows Defender Luwih mboten umum. Publikasi kasebut spekulasi pangowahan kasebut ditindakake kanggo ngliwati proteksi sing ditargetake sing diluncurake VMware. Isih, nggunakake piranti urip-off-the-land kanggo evade dideteksi dening antivirus (mbukak ing tab anyar) utawa malware (mbukak ing tab anyar) layanan pangayoman "banget umum" dina iki, publikasi rampung, urging bisnis kanggo mriksa kontrol keamanan lan waspada karo nelusuri carane executables sah lagi (ab) digunakake.

Sanajan Cobalt Strike minangka alat sing sah, digunakake kanggo tes penetrasi, iku wis dadi kondhang amarga dilecehke dening aktor ancaman ing endi wae. Nerangake karo dhaptar ekstensif fitur sing cybercriminals bisa digunakake kanggo peta metu jaringan target, ora dideteksi, lan pindhah laterally liwat endpoints, lagi nyiapake kanggo nyolong data lan masang ransomware.

Liwat: BleepingComputer (mbukak ing tab anyar)

sumber

Posting Sabanjure

Windows Defender disusupi kanggo nyebarake ransomware mbebayani iki

Piranti lunak sing kudu diduweni ing 2024

Kategori paling ndhuwur

Komentar paling anyar

Video Teaser Samsung Galaxy Z Flip 5, Sadurunge Acara Galaxy Unpacked, Nuduhake Desain Engsel Anyar, Pilihan Warna

Twitter mbatesi jumlah pangguna sing durung diverifikasi DM sing bisa dikirim

Telpon Android favoritku bisa nindakake perkara sing ora bisa ditindakake dening iPhone 14 Pro Max

ChatGPT kanggo Android diluncurake minggu ngarep, lan sampeyan bisa ndhaptar saiki

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Kanthi Google TV, Speaker 20W Diluncurake ing India:: Rega, Spesifikasi

Baterei sing bisa ditonton iki bisa nguwasani jagad diagnostik lan energi lestari