Windows Defender gehackt om deze gevaarlijke ransomware te implementeren

Log4j-kwetsbaarheden worden nu gebruikt om Cobalt Strike-bakens te implementeren via de Windows Defender-opdrachtregeltool, hebben onderzoekers ontdekt.

Cybersecurity-onderzoekers van Sentinel Labs ontdekten onlangs een nieuwe methode, gebruikt door een onbekende dreigingsactor, met als eindspel de inzet van LockBit 3.0-ransomware.

Het werkt als volgt: de dreigingsactor zou log4shell gebruiken (zoals de Log4j zero-day wordt genoemd) om toegang te krijgen tot een doeleindpunt en de benodigde gebruikersrechten te verkrijgen. Als dat eenmaal uit de weg is, zouden ze PowerShell gebruiken om drie afzonderlijke bestanden te downloaden: een Windows CL-hulpprogrammabestand (schoon), een DLL-bestand (mpclient.dll) en een LOG-bestand (het eigenlijke Cobalt Strike-baken).

Zijladende kobaltaanval

Ze zouden dan MpCmdRun.exe uitvoeren, een opdrachtregelprogramma dat verschillende taken uitvoert voor Microsoft Defender. Dat programma laadt meestal een legitiem DLL-bestand - mpclient.dll, dat het nodig heeft om correct te worden uitgevoerd. Maar in dit geval zou het programma een kwaadaardige DLL met dezelfde naam laden, samen met het programma gedownload.

Die DLL zal het LOG-bestand laden en een versleutelde Cobalt Strike-payload ontsleutelen.

Het is een methode die bekend staat als side-loading.

Gewoonlijk gebruikte dit LockBit-filiaal de opdrachtregeltools van VMware om Cobalt Strike-bakens aan de zijkant te laden, BeginnersWeb zegt, dus de overstap naar Windows Defender is enigszins ongebruikelijk. De publicatie speculeert dat de wijziging is aangebracht om gerichte beveiligingen te omzeilen die VMware onlangs heeft geïntroduceerd. Toch gebruik maken van tools voor leven van het land om te voorkomen dat ze worden gedetecteerd door antivirus (opent in nieuw tabblad) of malware (opent in nieuw tabblad) beschermingsdiensten is tegenwoordig "uiterst gebruikelijk", concludeert de publicatie, en dringt er bij bedrijven op aan hun beveiligingscontroles te controleren en waakzaam te zijn bij het volgen van hoe legitieme uitvoerbare bestanden worden (misbruikt) gebruikt.

Ook al is Cobalt Strike een legitiem hulpmiddel dat wordt gebruikt voor penetratietesten, het is behoorlijk berucht geworden omdat het overal wordt misbruikt door bedreigingsactoren. Het wordt geleverd met een uitgebreide lijst met functies die cybercriminelen kunnen gebruiken om het doelnetwerk onopgemerkt in kaart te brengen en zijdelings over eindpunten te bewegen, terwijl ze zich voorbereiden op het stelen van gegevens en het inzetten van ransomware.

Via: BeginnersWeb (opent in nieuw tabblad)

bron

Vorige post

Windows Defender gehackt om deze gevaarlijke ransomware te implementeren

Onmisbare software in 2024

Top categorieën

Laatste beoordelingen

Samsung Galaxy Z Flip 5 teaservideo, vooruitlopend op Galaxy Unpacked Event, pronkt met nieuw scharnierontwerp, kleuropties

Twitter beperkt het aantal DM's dat niet-geverifieerde gebruikers kunnen sturen

Mijn favoriete Android-telefoon kan dingen die mijn iPhone 14 Pro Max niet kan

ChatGPT voor Android wordt volgende week gelanceerd en u kunt zich nu vooraf registreren

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A met Google TV, 20W-luidsprekers gelanceerd in India: prijs, specificaties

Deze eetbare batterij zou de wereld van diagnostiek en duurzame energie van stroom kunnen voorzien