Atacantes não identificados associados aos desenvolvedores do ransomware LockBit 3.0 usam uma ferramenta de linha de comando no Windows Defender Antivirus para baixar o Cobalt Strike, uma ferramenta de invasão comercial que é usada ativamente por hackers, em um sistema de beacon comprometido. Sobre ele escreve a edição CNews com referência aos dados da empresa SentinelOne.

Fonte da imagem: Pixabay

Os invasores supostamente usam a ferramenta MpCmdRun.exe para descriptografar e baixar o Cobalt Strike no sistema da vítima. No entanto, o uso do Windows Defender é apenas uma etapa do esquema de hackers. Os invasores primeiro comprometem os sistemas VMWare Horizon Server que não possuem uma correção para a vulnerabilidade do Log4j. Os hackers modificam o componente Blast Secure Gateway instalando um shell da Web usando o código do PowerShell.

Uma vez infiltrados, os hackers executam uma série de comandos e lançam ferramentas de pós-exploração, incluindo Meterpreter e PowerShell Empire. Em seguida, os invasores baixam uma DLL maliciosa, um módulo mal-intencionado criptografado e uma ferramenta legítima, MpCmdRun.exe, com uma assinatura digital funcional de um servidor remoto. Quanto à DLL maliciosa, estamos falando da biblioteca mpclient.dll, que foi modificada de forma especial. MpCmdRun.exe carrega a biblioteca automaticamente e a usa para descriptografar o corpo principal do elemento ativo Cobalt Strike oculto no arquivo C0000015.log.

«Os defensores precisam estar cientes de que os operadores da LockBit e seus parceiros estão explorando e usando novas ferramentas de “viver da terra”. meios locais legítimos para baixar beacons Cobalt Strike, ignorando com sucesso alguns sistemas EDR e antivírus típicos”, disse SentinelOne em comunicado. No início deste ano, os especialistas do SentinelOne alertaram que os operadores do LockBit estavam usando o utilitário VMwareXferlogs.exe (uma ferramenta de virtualização VMware legítima usada para se comunicar com os logs do VMX) para baixar os beacons Cobalt Strike.

avalanche

Postagens recentes

A Ampera imprimiu em 3D um pequeno reator de tório para alimentar centros de dados.

A startup americana Ampera anunciou o desenvolvimento do primeiro módulo de reator nuclear impresso em…

10 horas atrás

A Samsung pretende se tornar uma fabricante líder de chips de IA, incorporando as tecnologias Anthropic e Meta.

A Samsung Electronics está fortalecendo sua posição como um dos principais players no mercado de…

11 horas atrás

A escassez de memória refletida nas estatísticas de junho do Steam

A Valve publicou os resultados de sua Pesquisa de Hardware e Software do Steam referente…

13 horas atrás

Uma operação para resgatar o observatório espacial Swift da NASA, que está caindo na Terra, foi iniciada.

Em 3 de julho de 2026, às 20h36, horário local (11h36, horário de Moscou), uma…

13 horas atrás