Осторожно: злоумышленники используют Microsoft Defender для заражения ПК маяком Cobalt Strike
Компания SentinelOne, занимающаяся исследованиями в области кибербезопасности, сегодня опубликовала новость, которая должна привести Microsoft в состояние повышенной готовности, если это еще не произошло. Первый обнаружил, что внутреннее решение для защиты от вредоносных программ используется для загрузки маяка Cobalt Strike потенциальным жертвам. Субъектами угрозы в этом случае являются операторы и аффилированные лица LockBit Ransomware as a Service (RaaS), которые используют специальный инструмент командной строки в Защитнике, получивший название «mpcmdrun.exe», для заражения компьютеров.
В своем блоге, описывающем эту новую атаку, SentinelOne:
В ходе недавнего расследования мы обнаружили, что злоумышленники злоупотребляли инструментом командной строки Защитника Windows MpCmdRun.exe для расшифровки и загрузки полезных нагрузок Cobalt Strike.
[…]Примечательно, что субъект угрозы использует законный инструмент командной строки Защитника Windows MpCmdRun.exe для расшифровки и загрузки полезных нагрузок Cobalt Strike.
Процесс атаки работает почти так же, как и в предыдущем случае VMWare CLI. Злоумышленники, по сути, используют уязвимость Log4j для загрузки MpCmdRun, вредоносного DLL-файла «mpclient» и зашифрованного файла полезной нагрузки Cobalt Strike со своего сервера Command-and-Control (C2) для заражения системы потенциальной жертвы.
[…] MpCmd.exe (sic) используется для боковой загрузки mpclient.dll, которая загружает и расшифровывает маяк Cobalt Strike из файла c0000015.log.Таким образом, компоненты, используемые в атаке, конкретно связанные с использованием инструмента командной строки Защитника Windows:
| Имя файла | Описание |
|---|---|
| MpCmdRun.exe | Легальная/подписанная утилита Microsoft Defender |
| mpclient.dll | Загруженная MpCmdRun.exe |
| C0000015.log | Зашифрованный Cobalt Strike |
На следующей диаграмме показана цепочка атак:
Вы можете найти индикаторы компрометации, а также более подробную техническую информацию в официальном блоге здесь.
