Windows Defender가 이 위험한 랜섬웨어를 배포하기 위해 해킹되었습니다.

Log4j 취약점이 현재 Windows Defender 명령줄 도구를 통해 Cobalt Strike 비콘을 배포하는 데 사용되고 있다고 연구원들이 발견했습니다.

Sentinel Labs의 사이버 보안 연구원은 최근 알 수 없는 위협 행위자가 사용하는 새로운 방법을 발견했으며 최종 게임은 LockBit 3.0 랜섬웨어 배포입니다.

이는 다음과 같이 작동합니다. 위협 행위자는 log4shell(Log4j 제로데이 더빙)을 활용하여 대상 엔드포인트에 액세스하고 필요한 사용자 권한을 얻습니다. 일단 그것이 방해가되면 그들은 PowerShell을 사용하여 Windows CL 유틸리티 파일(clean), DLL 파일(mpclient.dll) 및 LOG 파일(실제 Cobalt Strike 비콘)의 세 가지 개별 파일을 다운로드합니다.

사이드 로딩 코발트 스트라이크

그런 다음 Microsoft Defender의 다양한 작업을 수행하는 명령줄 유틸리티인 MpCmdRun.exe를 실행합니다. 이 프로그램은 일반적으로 제대로 실행되는 데 필요한 합법적인 DLL 파일인 mpclient.dll을 로드합니다. 그러나 이 경우 프로그램은 프로그램과 함께 다운로드된 같은 이름의 악성 DLL을 로드합니다.

해당 DLL은 LOG 파일을 로드하고 암호화된 Cobalt Strike 페이로드를 해독합니다.

사이드 로딩으로 알려진 방법입니다.

일반적으로 이 LockBit 계열사는 VMware의 명령줄 도구를 사용하여 Cobalt Strike 비콘을 사이드로드했습니다. 멍청한 컴퓨터 따라서 Windows Defender로의 전환은 다소 이례적입니다. 이 간행물은 VMware가 최근에 도입한 표적 보호를 우회하기 위해 이러한 변경이 이루어졌다고 추측합니다. 그래도 해외 도구를 사용하여 바이러스 백신에 탐지되는 것을 피합니다. (새 탭에서 열립니다) 또는 맬웨어 (새 탭에서 열립니다) 보호 서비스는 요즘 "매우 일반적"이며 기업이 보안 제어를 확인하고 합법적인 실행 파일이 (악용) 사용되는 방식을 추적하는 데 주의를 기울일 것을 촉구합니다.

Cobalt Strike는 침투 테스트에 사용되는 합법적인 도구이지만 모든 곳에서 위협 행위자에 의해 남용되고 있기 때문에 상당히 악명이 높아졌습니다. 여기에는 사이버 범죄자가 데이터를 훔치고 랜섬웨어를 배포할 준비를 할 때 탐지되지 않고 엔드포인트를 가로질러 이동하는 대상 네트워크를 매핑하는 데 사용할 수 있는 광범위한 기능 목록이 함께 제공됩니다.

비아 : 멍청한 컴퓨터 (새 탭에서 열립니다)

출처