По данным ИБ-компании SentinelOne , оператор или партнер программы-вымогателя LockBit использует утилиту командной строки VMware под названием «VMwareXferlogs.exe» для боковой загрузки Cobalt Strike , а также инструмент командной строки, связанный с Защитником Windows. В частности, хакеры использовали «MpCmdRun.exe» для расшифровки и загрузки Cobalt Strike после эксплуатации.
Атака началась с эксплуатации уязвимости Log4Shell в экземпляре VMware Horizon Server . Затем хакеры провели разведку и попытались получить привилегии, необходимые для загрузки и выполнения полезной нагрузки после эксплуатации.
Эксперты предупредили ИБ-специалистов, что LockBit изучают и используют новые инструменты, чтобы загружать маяки Cobalt Strike и уклоняться от средств EDR-обнаружения и антивирусных программ.
«VMware и Защитник Windows широко распространены на предприятии и очень полезны для злоумышленников, если они могут обойти средств защиты системы», — добавили в SentinelOne.
Киберпреступники LockBit заработали $91 миллион за 1700 атак на американские учреждения
Специалисты по кибербезопасности из США и других стран опубликовали совместный анализ , посвященный деятельности группировки LockBit, которая с…