Các nhà nghiên cứu đã phát hiện ra các lỗ hổng Log4j hiện đang được sử dụng để triển khai đèn hiệu Cobalt Strike thông qua công cụ dòng lệnh Windows Defender.
Các nhà nghiên cứu an ninh mạng từ Sentinel Labs gần đây đã phát hiện ra một phương pháp mới, được sử dụng bởi một kẻ đe dọa không xác định, với kết cục là việc triển khai ransomware LockBit 3.0.
Nó hoạt động như thế này: kẻ đe dọa sẽ tận dụng log4shell (như tên gọi ngày 4 của LogXNUMXj) để có quyền truy cập vào điểm cuối mục tiêu và có được các đặc quyền cần thiết của người dùng. Khi không còn cách nào khác, họ sẽ sử dụng PowerShell để tải xuống ba tệp riêng biệt: tệp tiện ích Windows CL (sạch), tệp DLL (mpclient.dll) và tệp LOG (đèn hiệu Cobalt Strike thực tế).
Cobalt Strike tải bên
Sau đó, họ sẽ chạy MpCmdRun.exe, một tiện ích dòng lệnh thực hiện nhiều tác vụ khác nhau cho Microsoft Defender. Chương trình đó thường tải một tệp DLL hợp pháp – mpclient.dll, tệp này cần để chạy chính xác. Nhưng trong trường hợp này, chương trình sẽ tải một tệp DLL độc hại cùng tên, được tải xuống cùng với chương trình.
DLL đó sẽ tải tệp LOG và giải mã tải trọng Cobalt Strike được mã hóa.
Đó là một phương pháp được gọi là tải bên.
Thông thường, chi nhánh LockBit này đã sử dụng các công cụ dòng lệnh của VMware để tải phụ các đèn hiệu Cobalt Strike, BleepingComputer cho biết, vì vậy việc chuyển sang Windows Defender có phần bất thường. Ấn phẩm suy đoán rằng thay đổi này được thực hiện để vượt qua các biện pháp bảo vệ có mục tiêu mà VMware đã giới thiệu gần đây. Tuy nhiên, sử dụng các công cụ sống ngoài đất liền để tránh bị phần mềm chống vi-rút phát hiện (mở trong tab mới) hoặc phần mềm độc hại (mở trong tab mới) ấn phẩm kết luận rằng các dịch vụ bảo vệ ngày nay “cực kỳ phổ biến”, kêu gọi các doanh nghiệp kiểm tra các biện pháp kiểm soát bảo mật của họ và cảnh giác với việc theo dõi cách các tệp thi hành hợp pháp đang được (ab) sử dụng.
Mặc dù Cobalt Strike là một công cụ hợp pháp, được sử dụng để thử nghiệm khả năng xâm nhập, nhưng nó đã trở nên khá khét tiếng vì bị các tác nhân đe dọa ở khắp mọi nơi lạm dụng. Nó đi kèm với một danh sách đầy đủ các tính năng mà tội phạm mạng có thể sử dụng để vạch ra mạng mục tiêu mà không bị phát hiện và di chuyển ngang qua các điểm cuối khi chúng chuẩn bị đánh cắp dữ liệu và triển khai phần mềm ransomware.
Via: BleepingComputer (mở trong tab mới)