Новости MicrosoftПоследние новости

Осторожно: злоумышленники используют Microsoft Defender для заражения ПК маяком Cobalt Strike

Компания SentinelOne, занимающаяся исследованиями в области кибербезопасности, сегодня опубликовала новость, которая должна привести Microsoft в состояние повышенной готовности, если это еще не произошло. Первый обнаружил, что внутреннее решение для защиты от вредоносных программ используется для загрузки маяка Cobalt Strike потенциальным жертвам. Субъектами угрозы в этом случае являются операторы и аффилированные лица LockBit Ransomware as a Service (RaaS), которые используют специальный инструмент командной строки в Защитнике, получивший название «mpcmdrun.exe», для заражения компьютеров.

Cobalt Strike

В своем блоге, описывающем эту новую атаку, SentinelOne:

В ходе недавнего расследования мы обнаружили, что злоумышленники злоупотребляли инструментом командной строки Защитника Windows MpCmdRun.exe для расшифровки и загрузки полезных нагрузок Cobalt Strike.

[…]

Примечательно, что субъект угрозы использует законный инструмент командной строки Защитника Windows MpCmdRun.exe для расшифровки и загрузки полезных нагрузок Cobalt Strike.

Процесс атаки работает почти так же, как и в предыдущем случае VMWare CLI. Злоумышленники, по сути, используют уязвимость Log4j для загрузки MpCmdRun, вредоносного DLL-файла «mpclient» и зашифрованного файла полезной нагрузки Cobalt Strike со своего сервера Command-and-Control (C2) для заражения системы потенциальной жертвы.

[…] MpCmd.exe (sic) используется для боковой загрузки mpclient.dll, которая загружает и расшифровывает маяк Cobalt Strike из файла c0000015.log.

Таким образом, компоненты, используемые в атаке, конкретно связанные с использованием инструмента командной строки Защитника Windows:

Имя файлаОписание
MpCmdRun.exeЛегальная/подписанная утилита Microsoft Defender
mpclient.dllЗагруженная MpCmdRun.exe
C0000015.logЗашифрованный Cobalt Strike

На следующей диаграмме показана цепочка атак:

Защитник использовался для доставки вредоносной полезной нагрузки Cobalt Strike

Вы можете найти индикаторы компрометации, а также более подробную техническую информацию в официальном блоге здесь.

Статьи по Теме

Добавить комментарий

Ваш адрес email не будет опубликован.

Кнопка «Наверх»