Cuidado: los atacantes de LockBit usan Microsoft Defender para infectar la PC con la baliza Cobalt Strike
La firma de investigación de seguridad cibernética SentinelOne publicó hoy noticias que deberían poner a Microsoft en alerta máxima, si aún no lo ha hecho. El primero descubrió que la gigantesca solución antimalware interna de Redmond se está utilizando para descargar la baliza Cobalt Strike a posibles víctimas. Los actores de amenazas en este caso son los operadores y afiliados de LockBit Ransomware as a Service (RaaS), que utilizan una herramienta de línea de comandos especial en Defender, denominada » mpcmdrun.exe «, entre otras cosas, para infectar las computadoras de las víctimas.
En su blog que describe este nuevo ataque, SentinelOne dice:
En una investigación reciente, descubrimos que los atacantes hicieron un mal uso de la herramienta de línea de comandos de Windows Defender MpCmdRun.exe para descifrar y descargar las cargas útiles de Cobalt Strike.
[…]
En particular, el actor de amenazas utiliza la herramienta legítima de línea de comandos de Windows Defender MpCmdRun.exe para descifrar y descargar las cargas útiles de Cobalt Strike.
El proceso de ataque funciona casi igual que en el caso anterior de VMWare CLI. Los atacantes utilizan esencialmente la vulnerabilidad Log4j para descargar MpCmdRun, una DLL «mpclient» maliciosa y un archivo de carga útil Cobalt Strike encriptado desde su servidor Command-and-Control (C2) para infectar el sistema de una posible víctima.
[…] MpCmd.exe (sic) se usa para transferir el mpclient.dll armado, que carga y descifra la baliza Cobalt Strike del archivo c0000015.log.
Así, los componentes utilizados en el ataque, específicamente relacionados con el uso de la herramienta de línea de comandos de Windows Defender:
Nombre del archivo Descripción MpCmdRun.exe
Utilidad de Microsoft Defender legal/firmada mpclient.dll Arma DLL cargada por MpCmdRun.exe C0000015.log
Carga útil de Cobalt Strike encriptada
El siguiente diagrama muestra la cadena de ataque:
Puede encontrar indicadores de compromiso, así como más información técnica en el blog oficial aquí .
Deja una respuesta