หน้าแรก Security Bug แรนซั่มแวร์ LockBit อาศัย Windows Defender โหลดตัว Cobalt Strike

แรนซั่มแวร์ LockBit อาศัย Windows Defender โหลดตัว Cobalt Strike

แบ่งปัน

ผู้โจมตีที่เกี่ยวข้องกับขบวนการแรนซั่มแวร์ LockBit 3.0 ได้ใช้ทูลคอมมานด์ไลน์ของ Windows Defender เพื่อโหลดตัว Cobalt Strike บนระบบที่ตกเป็นเหยื่อ แบบที่สามารถหลบเลี่ยงการตรวจจับปกติของซอฟต์แวร์ด้านความปลอดภัยได้

Cobalt Strike เป็นชุดโปรแกรมทดสอบการเจาะระบบที่ถูกกฎหมาย มาพร้อมฟีเจอร์มากมายจนได้รับความนิยมในหมู่ผู้ไม่ประสงค์ดีสำหรับใช้แอบสแกนตรวจช่องโหว่บนเครือข่าย และเคลื่อนย้ายตัวเองบนระบบก่อนจะจารกรรมและเข้ารหัสข้อมูล

แต่เนื่องจากโซลูชั่นความปลอดภัยใหม่ๆ สามารถตรวจจับพฤติกรรมของ Cobalt Strike ได้แล้ว ผู้โจมตีจึงพยายามพัฒนาวิธีใหม่ในการติดตั้งชุดทูลดังกล่าว โดยล่าสุดทาง Sentinel Labs พบการใช้ทูลคอมมานด์ไลน์ของ Microsoft Defender

เป็นตัวที่ชื่อ “MpCmdRun.exe” ที่ถูกวายร้ายมาใช้โหลด DLL อันตรายแบบคู่ขนาน (Side-Load) ที่จะนำมาถอดรหัสและติดตั้งตัว Cobalt Strike อีกทีหนึ่ง ซึ่งการเจาะเครือข่ายครั้งแรกนี้ทำได้โดยใช้ช่องโหว่ Log4j บนเซิร์ฟเวอร์ Horizon ของ VMware ในการรันโค้ดพาวเวอร์เชลล์

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer