Хакери почали використовувати для проведення атак штатний антивірус Windows

Група хакерів, пов’язана із творцями програми-шифрувальника LockBit, розпочала використання для проведення кібератак програми Windows Defender. За допомогою командного рядка антивіруса вони завантажують на згадку про ПК жертви Cobalt Strike.

Подробиці

Фахівці компанії SentinelOne встановили, що в рамках першого етапу атаки зловмисники компрометують VMWare Horizon Server, в якій не усунуто вразливість Log4j. Вони здійснюють модифікацію компонента Blast Secure Gateway шляхом встановлення веб-шелл за допомогою PowerShell.

Проникнувши в систему, хакери запускають PowerShell Empire, Meterpreter та інші інструменти постексплуатації. Після цього вони завантажують шкідливу бібліотеку mpclient.dll разом із легальним інструментом MpCmdRun.exe, який має робочий цифровий підпис.

У повідомленні SentinelOne із цього приводу наголошується, що останнім часом маяки Cobalt Strike завантажуються на комп’ютери жертв хакерами за допомогою легітимних локальних засобів дедалі частіше. Їм вдається успішно оминати антивіруси та окремі EDR-системи.