Защитник Windows был взломан для развертывания опасной программы-вымогателя

Исследователи обнаружили, что уязвимости Log4j теперь используются для развертывания маяков Cobalt Strike с помощью инструмента командной строки Защитника Windows.
Защитник Windows был взломан для развертывания  опасной программы-вымогателя

Защитник Windows был взломан для развертывания опасной программы-вымогателя. Фото: СС0

Исследователи кибербезопасности из Sentinel Labs недавно обнаружили новый метод, используемый неизвестным злоумышленником для развертывания программы- вымогателя LockBit 3.0.

Алгоритм работает следующим образом: субъект угрозы использует log4shell (так называют нулевой день Log4j), чтобы получить доступ к целевой конечной точке и получить необходимые пользовательские привилегии. После этого хакеры использовали PowerShell для загрузки трех отдельных файлов: служебного файла Windows CL (чистого), файла DLL (mpclient.dll) и файла журнала (настоящего маяка Cobalt Strike). 

Затем они запускали MpCmdRun.exe, утилиту командной строки, которая выполняет различные задачи для Microsoft Defender. Эта программа обычно загружает законный файл DLL — mpclient.dll, который необходим ей для корректной работы. Но в этом случае программа загрузит одноименную вредоносную DLL, загруженную вместе с программой.

Эта DLL будет загружать файл LOG и расшифровывать зашифрованную полезную нагрузку Cobalt Strike. Это метод, известный как боковая загрузка.

Специалисты призывают предприятия проверять свои средства безопасности и проявлять бдительность, отслеживая, как используются законные исполняемые файлы. 

Startpack подготовиk список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Данные каталoга Startp ack. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Больше интересного

Актуальное

RingCentral обновляет телефон и платорму совместной работы
Новые шаблоны сайтов могут значительно упростить работу с SharePoint
Хакеры нашли новый способ взлома учетной записи Discord
Ещё…