Новости Software

Хакеры используют антивирус Windows Defender для проведения атак

Неустановленные злоумышленники, связанные с разработчиками шифровальщика LockBit 3.0, используют инструмент командной строки в антивирусе Windows Defender для загрузки в скомпрометированную систему маяков Cobalt Strike, коммерческого инструмента для пентестирования, который активно используется хакерами. Об этом пишет издание CNews со ссылкой на данные компании SentinelOne.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники используют инструмент MpCmdRun.exe для расшифровки и загрузки Cobalt Strike в систему жертвы. Однако использование Windows Defender является лишь одним из этапов хакерской схемы. Сначала злоумышленники компрометируют системы VMWare Horizon Server, на которых отсутствует исправление для уязвимости Log4j. Хакеры модифицируют компонент Blast Secure Gateway, устанавливая веб-шелл с помощью кода PowerShell.

После проникновения в систему хакеры осуществляют выполнение ряда команд и запускают инструменты пост-эксплуатации, включая Meterpreter и PowerShell Empire. Далее злоумышленники загружают с удалённого сервера вредоносный DLL, зашифрованный вредоносный модуль и легитимный инструмент — MpCmdRun.exe, снабжённый рабочей цифровой подписью. Что касается вредоносного DLL, то речь идёт о библиотеке mpclient.dll, которая особым образом модифицирована. MpCmdRun.exe загружает библиотеку автоматически и с её помощью расшифровывает основное тело активного элемента Cobalt Strike, скрытое в файле C0000015.log.

«Защитникам необходимо иметь в виду, что операторы LockBit и их партнёры исследуют и используют новые инструменты «living off the land», т.е. легитимные локальные средства, для загрузки маяков Cobalt Strike, успешно обходя некоторые типичные EDR-системы и антивирусы», — сказано в сообщении SentinelOne. Ранее в этом году эксперты SentinelOne предупреждали, что операторы LockBit используют утилиту VMwareXferlogs.exe (легитимный инструмент системы виртуализации VMware, используемый для обмена данными с логами VMX) для загрузки маяков Cobalt Strike.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Нити и связи: Кодзима подтвердил первую актрису на роль в своей следующей игре и опубликовал тизер второй 24 мин.
Dead Space в Steam обойдётся без привязки к Origin, а сам Origin вскоре заменят 29 мин.
Суд по делу Twitter против Илона Маска может быть отменён, если он купит компанию к 28 октября 3 ч.
Покупка Маском Twitter вновь под вопросом — нужно решить проблему с кредитом на $13 млрд 6 ч.
Новая статья: 10 браузеров для ПК, о существовании которых вы вряд ли догадывались 10 ч.
В России появилась ещё одна соцсеть — QR'ME, которая построена на QR-кодах 13 ч.
Sony добавила в Marvel’s Spider-Man на ПК интеграцию с PSN, но пользы от неё пока мало 13 ч.
Добро пожаловать в Город душ: Капитан Прайс и Гоуст на пороге глобального конфликта в релизном трейлере Call of Duty: Modern Warfare 2 14 ч.
Вслед за The Witcher и Cyberpunk: CD Projekt раскрыла жанр первой игры по своей новой франшизе 15 ч.
Владельцы смартфонов Pixel 7 и 7 Pro получат бесплатный доступ к Google One VPN 15 ч.