Сегодня 20 мая 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Хакеры используют антивирус Windows Defender для проведения атак

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Разработчики Baldur’s Gate 3 открыли новую студию — Larian понадобилась помощь с созданием «двух крайне амбициозных RPG» 48 мин.
«Обязателен для всех фанатов»: для ремастера культового квеста Grim Fandango вышел мод с улучшениями графики 3 ч.
С конца мая ЦБ начнет проверять, как в банках идёт импортозамещение ПО 3 ч.
Инсайдер раскрыл следующую тайную игру, которую раздадут во время мегараспродажи Epic Games Store 3 ч.
«Встряхнёт игровую индустрию»: новый геймплейный трейлер Black Myth: Wukong привёл геймеров в восторг 4 ч.
Apple и OpenAI объявят о сотрудничестве на конференции WWDC в июне 6 ч.
Дождались: Ghost of Tsushima стала самой популярной одиночной игрой Sony в Steam, обогнав God of War и Marvel's Spider-Man 6 ч.
Газпромбанк переведет ИТ-инфраструктуру на решения виртуализации «Базис» 7 ч.
Apple, Microsoft, Meta и Google сосредоточились на создании небольших ИИ-моделей с мощными возможностями из-за высокой стоимости LLM 8 ч.
Veeam обзаведётся поддержкой Proxmox VE 19 ч.