Hackers usam antivírus Windows Defender para realizar ataques

Atacantes não identificados associados aos desenvolvedores do ransomware LockBit 3.0 usam uma ferramenta de linha de comando no Windows Defender Antivirus para baixar o Cobalt Strike, uma ferramenta de invasão comercial que é usada ativamente por hackers, em um sistema de beacon comprometido. Sobre ele escreve a edição CNews com referência aos dados da empresa SentinelOne.

Fonte da imagem: Pixabay

Os invasores supostamente usam a ferramenta MpCmdRun.exe para descriptografar e baixar o Cobalt Strike no sistema da vítima. No entanto, o uso do Windows Defender é apenas uma etapa do esquema de hackers. Os invasores primeiro comprometem os sistemas VMWare Horizon Server que não possuem uma correção para a vulnerabilidade do Log4j. Os hackers modificam o componente Blast Secure Gateway instalando um shell da Web usando o código do PowerShell.

Uma vez infiltrados, os hackers executam uma série de comandos e lançam ferramentas de pós-exploração, incluindo Meterpreter e PowerShell Empire. Em seguida, os invasores baixam uma DLL maliciosa, um módulo mal-intencionado criptografado e uma ferramenta legítima, MpCmdRun.exe, com uma assinatura digital funcional de um servidor remoto. Quanto à DLL maliciosa, estamos falando da biblioteca mpclient.dll, que foi modificada de forma especial. MpCmdRun.exe carrega a biblioteca automaticamente e a usa para descriptografar o corpo principal do elemento ativo Cobalt Strike oculto no arquivo C0000015.log.

«Os defensores precisam estar cientes de que os operadores da LockBit e seus parceiros estão explorando e usando novas ferramentas de “viver da terra”. meios locais legítimos para baixar beacons Cobalt Strike, ignorando com sucesso alguns sistemas EDR e antivírus típicos”, disse SentinelOne em comunicado. No início deste ano, os especialistas do SentinelOne alertaram que os operadores do LockBit estavam usando o utilitário VMwareXferlogs.exe (uma ferramenta de virtualização VMware legítima usada para se comunicar com os logs do VMX) para baixar os beacons Cobalt Strike.