Atacantes não identificados associados aos desenvolvedores do ransomware LockBit 3.0 usam uma ferramenta de linha de comando no Windows Defender Antivirus para baixar o Cobalt Strike, uma ferramenta de invasão comercial que é usada ativamente por hackers, em um sistema de beacon comprometido. Sobre ele escreve a edição CNews com referência aos dados da empresa SentinelOne.
Fonte da imagem: Pixabay
Os invasores supostamente usam a ferramenta MpCmdRun.exe para descriptografar e baixar o Cobalt Strike no sistema da vítima. No entanto, o uso do Windows Defender é apenas uma etapa do esquema de hackers. Os invasores primeiro comprometem os sistemas VMWare Horizon Server que não possuem uma correção para a vulnerabilidade do Log4j. Os hackers modificam o componente Blast Secure Gateway instalando um shell da Web usando o código do PowerShell.
Uma vez infiltrados, os hackers executam uma série de comandos e lançam ferramentas de pós-exploração, incluindo Meterpreter e PowerShell Empire. Em seguida, os invasores baixam uma DLL maliciosa, um módulo mal-intencionado criptografado e uma ferramenta legítima, MpCmdRun.exe, com uma assinatura digital funcional de um servidor remoto. Quanto à DLL maliciosa, estamos falando da biblioteca mpclient.dll, que foi modificada de forma especial. MpCmdRun.exe carrega a biblioteca automaticamente e a usa para descriptografar o corpo principal do elemento ativo Cobalt Strike oculto no arquivo C0000015.log.
«Os defensores precisam estar cientes de que os operadores da LockBit e seus parceiros estão explorando e usando novas ferramentas de “viver da terra”. meios locais legítimos para baixar beacons Cobalt Strike, ignorando com sucesso alguns sistemas EDR e antivírus típicos”, disse SentinelOne em comunicado. No início deste ano, os especialistas do SentinelOne alertaram que os operadores do LockBit estavam usando o utilitário VMwareXferlogs.exe (uma ferramenta de virtualização VMware legítima usada para se comunicar com os logs do VMX) para baixar os beacons Cobalt Strike.
O estúdio londrino ZA/UM, responsável pelo lançamento do cultuado jogo de detetive Disco Elysium em…
No início deste mês, veículos de comunicação noticiaram o desejo da Apple de diversificar sua…
A produção de aceleradores de IA chineses pode aumentar este ano, à medida que as…
As ações de fabricantes globais de semicondutores caíram acentuadamente após o encontro entre o presidente…
Jensen Huang é conhecido por muitas coisas: ele dirige a empresa mais valiosa do mundo,…
A Tesla divulgou informações sobre pelo menos dois acidentes envolvendo seus robotáxis. Os acidentes ocorreram…