Atacantes não identificados associados aos desenvolvedores do ransomware LockBit 3.0 usam uma ferramenta de linha de comando no Windows Defender Antivirus para baixar o Cobalt Strike, uma ferramenta de invasão comercial que é usada ativamente por hackers, em um sistema de beacon comprometido. Sobre ele escreve a edição CNews com referência aos dados da empresa SentinelOne.
Fonte da imagem: Pixabay
Os invasores supostamente usam a ferramenta MpCmdRun.exe para descriptografar e baixar o Cobalt Strike no sistema da vítima. No entanto, o uso do Windows Defender é apenas uma etapa do esquema de hackers. Os invasores primeiro comprometem os sistemas VMWare Horizon Server que não possuem uma correção para a vulnerabilidade do Log4j. Os hackers modificam o componente Blast Secure Gateway instalando um shell da Web usando o código do PowerShell.
Uma vez infiltrados, os hackers executam uma série de comandos e lançam ferramentas de pós-exploração, incluindo Meterpreter e PowerShell Empire. Em seguida, os invasores baixam uma DLL maliciosa, um módulo mal-intencionado criptografado e uma ferramenta legítima, MpCmdRun.exe, com uma assinatura digital funcional de um servidor remoto. Quanto à DLL maliciosa, estamos falando da biblioteca mpclient.dll, que foi modificada de forma especial. MpCmdRun.exe carrega a biblioteca automaticamente e a usa para descriptografar o corpo principal do elemento ativo Cobalt Strike oculto no arquivo C0000015.log.
«Os defensores precisam estar cientes de que os operadores da LockBit e seus parceiros estão explorando e usando novas ferramentas de “viver da terra”. meios locais legítimos para baixar beacons Cobalt Strike, ignorando com sucesso alguns sistemas EDR e antivírus típicos”, disse SentinelOne em comunicado. No início deste ano, os especialistas do SentinelOne alertaram que os operadores do LockBit estavam usando o utilitário VMwareXferlogs.exe (uma ferramenta de virtualização VMware legítima usada para se comunicar com os logs do VMX) para baixar os beacons Cobalt Strike.
A startup americana Ampera anunciou o desenvolvimento do primeiro módulo de reator nuclear impresso em…
A Samsung Electronics está fortalecendo sua posição como um dos principais players no mercado de…
Analistas registraram uma queda em uma das principais métricas do mercado de IA — o…
Informações divulgadas online indicam que os novos produtos da Samsung serão muito mais caros na…
A Valve publicou os resultados de sua Pesquisa de Hardware e Software do Steam referente…
Em 3 de julho de 2026, às 20h36, horário local (11h36, horário de Moscou), uma…