Atacantes não identificados associados aos desenvolvedores do ransomware LockBit 3.0 usam uma ferramenta de linha de comando no Windows Defender Antivirus para baixar o Cobalt Strike, uma ferramenta de invasão comercial que é usada ativamente por hackers, em um sistema de beacon comprometido. Sobre ele escreve a edição CNews com referência aos dados da empresa SentinelOne.
Fonte da imagem: Pixabay
Os invasores supostamente usam a ferramenta MpCmdRun.exe para descriptografar e baixar o Cobalt Strike no sistema da vítima. No entanto, o uso do Windows Defender é apenas uma etapa do esquema de hackers. Os invasores primeiro comprometem os sistemas VMWare Horizon Server que não possuem uma correção para a vulnerabilidade do Log4j. Os hackers modificam o componente Blast Secure Gateway instalando um shell da Web usando o código do PowerShell.
Uma vez infiltrados, os hackers executam uma série de comandos e lançam ferramentas de pós-exploração, incluindo Meterpreter e PowerShell Empire. Em seguida, os invasores baixam uma DLL maliciosa, um módulo mal-intencionado criptografado e uma ferramenta legítima, MpCmdRun.exe, com uma assinatura digital funcional de um servidor remoto. Quanto à DLL maliciosa, estamos falando da biblioteca mpclient.dll, que foi modificada de forma especial. MpCmdRun.exe carrega a biblioteca automaticamente e a usa para descriptografar o corpo principal do elemento ativo Cobalt Strike oculto no arquivo C0000015.log.
«Os defensores precisam estar cientes de que os operadores da LockBit e seus parceiros estão explorando e usando novas ferramentas de “viver da terra”. meios locais legítimos para baixar beacons Cobalt Strike, ignorando com sucesso alguns sistemas EDR e antivírus típicos”, disse SentinelOne em comunicado. No início deste ano, os especialistas do SentinelOne alertaram que os operadores do LockBit estavam usando o utilitário VMwareXferlogs.exe (uma ferramenta de virtualização VMware legítima usada para se comunicar com os logs do VMX) para baixar os beacons Cobalt Strike.
Metal Gear Solid Delta: Snake Eater, que é um remake do icônico jogo de ação…
A geografia dos táxis autônomos da Waymo está em constante expansão, e esses veículos estão…
Embora não seja o vizinho mais próximo da Terra, Marte há muito tempo atrai a…
Como vocês sabem, este ano a Intel intrigou os investidores com a afirmação de que…
Rumores de que a OpenAI está planejando lançar um chip para acelerar os cálculos de…
Para o atual presidente dos EUA, Donald Trump, as taxas alfandegárias se tornaram a principal…