Windows Defender, bu tehlikeli fidye yazılımını dağıtmak için saldırıya uğradı

Araştırmacılar, Log4j güvenlik açıklarının artık Windows Defender komut satırı aracı aracılığıyla Cobalt Strike işaretlerini dağıtmak için kullanıldığını buldu.

Sentinel Labs'den siber güvenlik araştırmacıları, yakın zamanda, bilinmeyen bir tehdit aktörü tarafından kullanılan ve oyunun sonu LockBit 3.0 fidye yazılımının konuşlandırılması olan yeni bir yöntem keşfetti.

Şu şekilde çalışır: tehdit aktörü, bir hedef uç noktaya erişim elde etmek ve gerekli kullanıcı ayrıcalıklarını elde etmek için log4shell'den (Log4j sıfır-gün olarak adlandırılır) yararlanır. Bu işlem ortadan kalktığında, üç ayrı dosyayı indirmek için PowerShell'i kullanırlardı: bir Windows CL yardımcı programı dosyası (temiz), bir DLL dosyası (mpclient.dll) ve bir LOG dosyası (gerçek Cobalt Strike işaretçisi).

Yandan Yüklemeli Kobalt Vuruşu

Ardından, Microsoft Defender için çeşitli görevleri gerçekleştiren bir komut satırı yardımcı programı olan MpCmdRun.exe'yi çalıştırırlardı. Bu program genellikle meşru bir DLL dosyası yükler - mpclient.dll, düzgün çalışması gerekir. Ancak bu durumda program, programla birlikte indirilen aynı ada sahip kötü amaçlı bir DLL dosyasını yükler.

Bu DLL, LOG dosyasını yükler ve şifreli bir Cobalt Strike yükünün şifresini çözer.

Yandan yükleme olarak bilinen bir yöntemdir.

Genellikle bu LockBit iştiraki, Cobalt Strike işaretlerini yandan yüklemek için VMware'in komut satırı araçlarını kullandı. BleepingComputer diyor, bu yüzden Windows Defender'a geçiş biraz sıra dışı. Yayın, değişikliğin VMware'in yakın zamanda tanıttığı hedefli korumaları atlamak için yapıldığını tahmin ediyor. Yine de, antivirüs tarafından algılanmaktan kaçınmak için arazi dışında yaşayan araçları kullanmak (yeni sekmede açılır) veya kötü amaçlı yazılım (yeni sekmede açılır) Koruma hizmetlerinin bu günlerde “son derece yaygın” olduğu sonucuna varan yayın, işletmeleri güvenlik kontrollerini kontrol etmeye ve meşru yürütülebilir dosyaların (ab) nasıl kullanıldığını takip etme konusunda uyanık olmaya çağırıyor.

Cobalt Strike, penetrasyon testi için kullanılan meşru bir araç olsa da, her yerde tehdit aktörleri tarafından kötüye kullanıldığı için oldukça kötü bir üne kavuştu. Siber suçluların, verileri çalmaya ve fidye yazılımı dağıtmaya hazırlanırken, tespit edilmeden hedef ağı haritalamak ve uç noktalar arasında yanal olarak hareket etmek için kullanabilecekleri kapsamlı bir özellik listesiyle birlikte gelir.

Via BleepingComputer (yeni sekmede açılır)

Kaynak

önceki Mesaj

Sonraki Mesaj

Windows Defender, bu tehlikeli fidye yazılımını dağıtmak için saldırıya uğradı

2024'de sahip olunması gereken yazılımlar

En popüler kategoriler

Son yorumlar

Galaxy Unpacked Etkinliği Öncesinde Yeni Menteşe Tasarımını ve Renk Seçeneklerini Sergileyen Samsung Galaxy Z Flip 5 Teaser Videosu

Twitter, doğrulanmamış kullanıcıların gönderebileceği DM sayısını sınırlıyor

En sevdiğim Android telefonum, iPhone 14 Pro Max'imin yapamadığı şeyleri yapabiliyor

Android için ChatGPT önümüzdeki hafta kullanıma sunuluyor ve şimdi ön kayıt yaptırabilirsiniz

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A with Google TV, 20W Hoparlörler Hindistan'da Piyasaya Sürüldü: : Fiyat, Teknik Özellikler

Bu yenilebilir pil, teşhis ve sürdürülebilir enerji dünyasına güç sağlayabilir