amidas #Blog

LockBit 勒索軟件濫用 Windows Defender 加載 Cobalt Strike



據SentinelOne研究人員稱,LockBit 3.0勒索軟件即服務(RaaS)業務的一個附屬機構正在濫用Windows Defender command-line 來解密和載入Cobalt Strike有效負載。

據觀察,該聯盟通過Log4Shell漏洞獲得了對未補丁(unpatched )VMware Horizon伺服器的初始訪問。 攻擊者隨後 「執行了一系列的枚舉命令 (enumeration commands),並試圖運行多個開發後工具 (post-exploitation),包括Meterpreter、PowerShell Empire和一種側載(side-load ) Cobalt Strike的新方法 」研究人員解釋說。

MpCmdRun.exe是一個執行Microsoft Defender任務的命令行工具。 執行時MpCmdRun.exe會載入一個名為 「mpclient.dll 」的合法DLL,以確保程式正常運作。 SentinelOne觀察到的個案中,攻擊者自行創建了武器化版本的mpclient.dll,並把它放在一個優先載入DLL惡意版本的位置,並載入和解密一個已經加密的 Cobalt Strike負載。


資料來源:SentinelOne Blog



 











立即聯絡Amidas顧問了解更多,

會議結束後更有機會獲得港幣100元購物禮券*。


*優惠只適用於完成會議並由Amidas確認為合資格客戶。

Amidas保留最終決定權。


如有任何疑問,歡迎透過以下方式聯絡我們:

電話:2168 0388

Whatsapp: 98283401

電郵:[email protected]