Защитник Windows был взломан для развертывания этой опасной программы-вымогателя

Исследователи обнаружили, что уязвимости Log4j теперь используются для развертывания маяков Cobalt Strike с помощью инструмента командной строки Защитника Windows.

Исследователи кибербезопасности из Sentinel Labs недавно обнаружили новый метод, используемый неизвестным злоумышленником, конечным результатом которого является развертывание программы-вымогателя LockBit 3.0.

Это работает следующим образом: злоумышленник использует log4shell (так называют нулевой день Log4j), чтобы получить доступ к целевой конечной точке и получить необходимые пользовательские привилегии. После этого они использовали PowerShell для загрузки трех отдельных файлов: служебного файла Windows CL (чистого), файла DLL (mpclient.dll) и файла журнала (настоящего маяка Cobalt Strike).

Cobalt Strike с боковой загрузкой

Затем они запускали MpCmdRun.exe, утилиту командной строки, которая выполняет различные задачи для Microsoft Defender. Эта программа обычно загружает законный DLL-файл — mpclient.dll, который необходим ей для правильной работы. Но в этом случае программа загрузит одноименную вредоносную DLL, загруженную вместе с программой.

Эта DLL будет загружать файл LOG и расшифровывать зашифрованную полезную нагрузку Cobalt Strike.

Это метод, известный как боковая загрузка.

Обычно этот филиал LockBit использовал инструменты командной строки VMware для боковой загрузки маяков Cobalt Strike, BleepingComputer говорит, поэтому переключение на Защитник Windows несколько необычно. В публикации предполагается, что это изменение было сделано для обхода целевых средств защиты, которые недавно представила VMware. Тем не менее, используя живущие за пределами земли инструменты, чтобы избежать обнаружения антивирусом (открывается в новой вкладке) или вредоносное ПО (открывается в новой вкладке) Службы защиты в наши дни «чрезвычайно распространены», заключает издание, призывая предприятия проверять свои средства безопасности и проявлять бдительность, отслеживая, как законные исполняемые файлы используются (злоумышленно).

Несмотря на то, что Cobalt Strike является законным инструментом, используемым для тестирования на проникновение, он стал довольно печально известным, поскольку злоумышленники повсюду злоупотребляют им. Он поставляется с обширным списком функций, которые киберпреступники могут использовать для обнаружения целевой сети, незамеченными и бокового перемещения между конечными точками, поскольку они готовятся к краже данных и развертыванию программ-вымогателей.

Via: BleepingComputer (открывается в новой вкладке)

Источник

предыдущий пост

Следующий пост

Keep Calm and Stay Smart

08:35

Наша команда ежегодно профессионально тестирует сотни программ, услуг и бизнес-стратегий с помощью наших собственных консультантов и группы бизнес-лидеров.

Мы тщательно выбираем решения с самым высоким соотношением затрат и выгод, которые просты в использовании, которые достойно интегрируются в любой тип организации и которые включают передовые функции, чтобы гарантировать, что вы будете оставаться на вершине своего бизнес-сектора.

Защитник Windows был взломан для развертывания этой опасной программы-вымогателя

Обязательное программное обеспечение в 2024 году

Лучшие категории

Последние отзывы

Видео-тизер Samsung Galaxy Z Flip 5, в преддверии мероприятия Galaxy Unpacked, демонстрирует новый дизайн шарнира, варианты цвета

Twitter ограничивает количество личных сообщений, которые могут отправлять непроверенные пользователи

Мой любимый телефон на Android может делать то, чего не может мой iPhone 14 Pro Max

ChatGPT для Android запускается на следующей неделе, и вы можете предварительно зарегистрироваться прямо сейчас.

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A с Google TV и динамиками мощностью 20 Вт запущены в Индии: цена, характеристики

Эта съедобная батарея может питать мир диагностики и устойчивой энергетики