LockBit 勒索軟件濫用 Windows Defender 加載 Cobalt Strike

據SentinelOne研究人員稱，LockBit 3.0勒索軟件即服務（RaaS）業務的一個附屬機構正在濫用Windows Defender command-line 來解密和載入Cobalt Strike有效負載。

據觀察，該聯盟通過Log4Shell漏洞獲得了對未補丁(unpatched )VMware Horizon伺服器的初始訪問。攻擊者隨後「執行了一系列的枚舉命令 (enumeration commands)，並試圖運行多個開發後工具 (post-exploitation)，包括Meterpreter、PowerShell Empire和一種側載(side-load ) Cobalt Strike的新方法」研究人員解釋說。

MpCmdRun.exe是一個執行Microsoft Defender任務的命令行工具。執行時MpCmdRun.exe會載入一個名為「mpclient.dll 」的合法DLL，以確保程式正常運作。 SentinelOne觀察到的個案中，攻擊者自行創建了武器化版本的mpclient.dll，並把它放在一個優先載入DLL惡意版本的位置，並載入和解密一個已經加密的 Cobalt Strike負載。

資料來源：SentinelOne Blog