Группа хакеров, связанная с создателями программы-шифровальщика LockBit, приступила к использованию для проведения кибератак приложения Windows Defender. С помощью командной строки антивируса они загружают в память ПК жертвы Cobalt Strike.
Подробности
Специалисты компании SentinelOne установили, что в рамках первого этапа атаки злоумышленники компрометируют VMWare Horizon Server, в которой не устранена уязвимость Log4j. Они осуществляют модификацию компонента Blast Secure Gateway путем установки веб-шелл посредством PowerShell.
Проникнув в систему, хакеры запускают PowerShell Empire, Meterpreter и другие инструменты пост-эксплуатации. После этого они загружают вредоносную библиотеку mpclient.dll вместе с легальным инструментом MpCmdRun.exe, который имеет рабочую цифровую подпись.
В сообщении SentinelOne по этому поводу отмечается, что в последнее время маяки Cobalt Strike загружаются на компьютеры жертв хакерами с помощью легитимных локальных средств все чаще. Им удается успешно обходить антивирусы и отдельные EDR-системы.