Бул коркунучтуу ransomware жайылтуу үчүн Windows Defender бузулган

Log4j алсыздыктары азыр Windows Defender буйрук сабы куралы аркылуу Cobalt Strike маяктарын жайылтуу үчүн колдонулуп жатканын изилдөөчүлөр аныкташкан.

Жакында Sentinel лабораториясынын киберкоопсуздук боюнча изилдөөчүлөрү белгисиз коркунуч актеру колдонгон жаңы ыкманы байкашты, анын соңку оюну LockBit 3.0 ransomware программасын жайылтуу.

Ал мындай иштейт: коркунуч актеру log4shell (Log4j нөл-күн деп аталат) максаттуу акыркы чекитке жетүү жана колдонуучуга керектүү артыкчылыктарды алуу үчүн колдонот. Бул жол жок болгондон кийин, алар PowerShell программасын үч өзүнчө файлды жүктөп алуу үчүн колдонушат: Windows CL утилита файлы (таза), DLL файлы (mpclient.dll) жана LOG файлы (чыныгы Cobalt Strike маяк).

Side-loading Cobalt Strike

Андан кийин алар MpCmdRun.exe, Microsoft Defender үчүн ар кандай тапшырмаларды аткарган буйрук сабынын утилитасын иштетишет. Бул программа адатта мыйзамдуу DLL файлын жүктөйт - mpclient.dll, ал туура иштеши керек. Бирок бул учурда, программа ошол эле аталыштагы зыяндуу DLLди жүктөйт, ал программа менен бирге жүктөлөт.

Бул DLL LOG файлын жүктөйт жана шифрленген Cobalt Strike пайдалуу жүгүн чечмелейт.

Бул капталдан жүктөө деп аталган ыкма.

Адатта, бул LockBit филиалы Cobalt Strike маяктарын каптал жүктөө үчүн VMware'дин буйрук сабынын куралдарын колдончу, BleepingComputer дейт, ошондуктан Windows Defender өтүү бир аз адаттан тыш болуп саналат. Басылмада өзгөртүү VMware жакында киргизген максаттуу коргоону айланып өтүү үчүн жасалган деп болжолдойт. Ошентсе да, антивирус тарабынан аныкталбоо үчүн, жер үстүндөгү куралдарды колдонуу (жаңы өтмөктө ачылат) же зыяндуу программа (жаңы өтмөктө ачылат) коргоо кызматтары бүгүнкү күндө "өтө кеңири таралган", - деп жыйынтыктайт басылма, бизнести коопсуздукту көзөмөлдөөнү текшерүүгө жана мыйзамдуу аткарылуучу файлдардын (ab) колдонулуп жаткандыгына көз салууда сак болууга үндөйт.

Cobalt Strike кирүүгө тестирлөө үчүн колдонулган мыйзамдуу курал болсо да, ал бардык жерде коркунуч туудурган актерлор тарабынан кыянаттык менен пайдаланылгандыктан, абдан жаман болуп калды. Бул киберкылмышкерлер маалыматтарды уурдоого жана ransomware жайылтууга даярданган кезде, максаттуу тармактын картасын аныктоо үчүн, аныкталбаган жана акыркы чекиттер боюнча жылдыруу үчүн колдоно ала турган функциялардын кеңири тизмеси менен келет.

аркылуу: BleepingComputer (жаңы өтмөктө ачылат)

булак

мурунку Post

кийинки Post

Keep Calm and Stay Smart

08:35

Биздин команда жыл сайын жүздөгөн программалык камсыздоону, кызматтарды жана бизнес стратегияларды өз консультанттарыбыз жана бизнес лидерлеринин тобу аркылуу профессионалдуу түрдө сынайт.

Биз колдонууга оңой, ар кандай уюмга ылайыктуу интеграцияланган жана бизнес секторуңуздун сап башында калууңузга кепилдик берүүчү алдыңкы функцияларды камтыган эң жогорку чыгаша-пайда катышы менен гана кылдат чечимдерди тандайбыз.

Бул коркунучтуу ransomware жайылтуу үчүн Windows Defender бузулган

2024-жылы болушу керек программалык камсыздоо

Мыкты категориялар

Акыркы пикирлер

Samsung Galaxy Z Flip 5 тизер видеосу, Galaxy Unpacked окуясынын алдында, жаңы шарнир дизайнын, түс тандоолорун көрсөтөт

Twitter текшерилбеген колдонуучулар жөнөтө турган DM санын чектейт

Менин сүйүктүү Android телефонум iPhone 14 Pro Max кыла албаган нерселерди жасай алат

Android үчүн ChatGPT келерки аптада ишке кирет жана сиз азыр алдын ала катталсаңыз болот

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Google TV менен, 20 Вт динамиктер Индияда чыгарылды: : Баасы, Техникалык мүнөздөмөлөрү

Бул жегич батарея диагностика жана туруктуу энергия дүйнөсүн кубаттай алат