Хакеры начали использовать для проведения атак штатный антивирус Windows

0
Хакеры

Группа хакеров, связанная с создателями программы-шифровальщика LockBit, приступила к использованию для проведения кибератак приложения Windows Defender. С помощью командной строки антивируса они загружают в память ПК жертвы Cobalt Strike.

Подробности

Специалисты компании SentinelOne установили, что в рамках первого этапа атаки злоумышленники компрометируют VMWare Horizon Server, в которой не устранена уязвимость Log4j. Они осуществляют модификацию компонента Blast Secure Gateway путем установки веб-шелл посредством PowerShell.

Проникнув в систему, хакеры запускают PowerShell Empire, Meterpreter и другие инструменты пост-эксплуатации. После этого они загружают вредоносную библиотеку mpclient.dll вместе с легальным инструментом MpCmdRun.exe, который имеет рабочую цифровую подпись.

В сообщении SentinelOne по этому поводу отмечается, что в последнее время маяки Cobalt Strike загружаются на компьютеры жертв хакерами с помощью легитимных локальных средств все чаще. Им удается успешно обходить антивирусы и отдельные EDR-системы.

Читайте свежие новости из мира мобильных технологий в группе Telegram, Facebook и Twitter, а также подписивайтесь на YouTube-канал

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Пожалуйста введите ваше имя здесь