Windows Defender bị hack để triển khai ransomware nguy hiểm này

Các nhà nghiên cứu đã phát hiện ra các lỗ hổng Log4j hiện đang được sử dụng để triển khai đèn hiệu Cobalt Strike thông qua công cụ dòng lệnh Windows Defender.

Các nhà nghiên cứu an ninh mạng từ Sentinel Labs gần đây đã phát hiện ra một phương pháp mới, được sử dụng bởi một kẻ đe dọa không xác định, với kết cục là việc triển khai ransomware LockBit 3.0.

Nó hoạt động như thế này: kẻ đe dọa sẽ tận dụng log4shell (như tên gọi ngày 4 của LogXNUMXj) để có quyền truy cập vào điểm cuối mục tiêu và có được các đặc quyền cần thiết của người dùng. Khi không còn cách nào khác, họ sẽ sử dụng PowerShell để tải xuống ba tệp riêng biệt: tệp tiện ích Windows CL (sạch), tệp DLL (mpclient.dll) và tệp LOG (đèn hiệu Cobalt Strike thực tế).

Cobalt Strike tải bên

Sau đó, họ sẽ chạy MpCmdRun.exe, một tiện ích dòng lệnh thực hiện nhiều tác vụ khác nhau cho Microsoft Defender. Chương trình đó thường tải một tệp DLL hợp pháp – mpclient.dll, tệp này cần để chạy chính xác. Nhưng trong trường hợp này, chương trình sẽ tải một tệp DLL độc hại cùng tên, được tải xuống cùng với chương trình.

DLL đó sẽ tải tệp LOG và giải mã tải trọng Cobalt Strike được mã hóa.

Đó là một phương pháp được gọi là tải bên.

Thông thường, chi nhánh LockBit này đã sử dụng các công cụ dòng lệnh của VMware để tải phụ các đèn hiệu Cobalt Strike, BleepingComputer cho biết, vì vậy việc chuyển sang Windows Defender có phần bất thường. Ấn phẩm suy đoán rằng thay đổi này được thực hiện để vượt qua các biện pháp bảo vệ có mục tiêu mà VMware đã giới thiệu gần đây. Tuy nhiên, sử dụng các công cụ sống ngoài đất liền để tránh bị phần mềm chống vi-rút phát hiện (mở trong tab mới) hoặc phần mềm độc hại (mở trong tab mới) ấn phẩm kết luận rằng các dịch vụ bảo vệ ngày nay “cực kỳ phổ biến”, kêu gọi các doanh nghiệp kiểm tra các biện pháp kiểm soát bảo mật của họ và cảnh giác với việc theo dõi cách các tệp thi hành hợp pháp đang được (ab) sử dụng.

Mặc dù Cobalt Strike là một công cụ hợp pháp, được sử dụng để thử nghiệm khả năng xâm nhập, nhưng nó đã trở nên khá khét tiếng vì bị các tác nhân đe dọa ở khắp mọi nơi lạm dụng. Nó đi kèm với một danh sách đầy đủ các tính năng mà tội phạm mạng có thể sử dụng để vạch ra mạng mục tiêu mà không bị phát hiện và di chuyển ngang qua các điểm cuối khi chúng chuẩn bị đánh cắp dữ liệu và triển khai phần mềm ransomware.

Via: BleepingComputer (mở trong tab mới)

nguồn

Bài trước

Bài tiếp theo

Windows Defender bị hack để triển khai ransomware nguy hiểm này

Phần mềm phải có vào năm 2024

Danh mục hàng đầu

Nhận xét mới nhất

Video giới thiệu Samsung Galaxy Z Flip 5, trước sự kiện Galaxy Unpacked, cho thấy thiết kế bản lề mới, tùy chọn màu sắc

Twitter đang giới hạn số lượng DM mà người dùng chưa được xác minh có thể gửi

Điện thoại Android yêu thích của tôi có thể làm những việc mà iPhone 14 Pro Max của tôi không thể

ChatGPT cho Android sẽ ra mắt vào tuần tới và bạn có thể đăng ký trước ngay bây giờ

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Với Google TV, Loa 20W được ra mắt tại Ấn Độ: : Giá cả, Thông số kỹ thuật

Pin ăn được này có thể cung cấp năng lượng cho thế giới chẩn đoán và năng lượng bền vững