Mã độc Lockbit hack chính phần mềm diệt virus trong Windows để lây nhiễm

www.tuoitre.vn -   01/08/2022 12:00:00 242

Theo SentinelOne, công cụ chống/diệt virus của Microsoft đang bị hacker lạm dụng để tải Cobalt Strike beacon lên máy của các nạn nhân tiềm năng. Qua đó, hacker có thể cài đặt lên máy của nạn nhân ransomware LockBit bằng cách sử dụng công cụ dòng lệnh chuyên dụng trong Defender có tên "mpcmdrun.exe".

Mã độc Lockbit hack chính phần mềm diệt virus trong Windows để lây nhiễm

Trên blog của mình, SentinelOne viết như sau:

Trong một cuộc điều tra gần đây, chúng tôi phát hiện ra rằng hacker đang lạm dụng công cụ dòng lệnh MpCmdRun.exe của Windows Defender (tên cũ của Microsoft Defender) để giải mã và tải các payload Cobalt Strike.

Đây là một hành vi rất đáng chú ý và cần phải được đề phòng đúng mực. Quá trình tấn công khá giống với trường hợp của VMware CLI trước đó. Về cơ bản, hacker khai thác lỗ hổng Log4j để tải xuống MpCmdRun, tệp DLL độc hại "mpclient" và file payload Cobalt Strike đã được mã hóa từ máy chủ Command-and-Control (C2) của nó để lây nhiễm vào máy tính của bạn nhân.

MpCmd.exe bị lạm dụng để side-load một file mpclient.dll đã được đặc chế, tải và giải mã Cobalt Strike beacon từ file c0000015.log.

Do đó, các thành phần được sử dụng trong cuộc tấn công liên quan cụ thể tới việc sử dụng công cụ dòng lệnh của Windows Defender là:

MpCmdRun.exe: Tiện ích Microsoft Defender hợp pháp, đã được ký xác nhận

mpclient.dll: File DLL đặc chế được tải bởi MpCmdRun.exe

C0000015.log: Payload Cobalt Strike đã được mã hóa

Đây là chuỗi tấn công của hacker:

Mã độc Lockbit hack chính phần mềm diệt virus trong Windows để lây nhiễm

Phương thức tấn công mới lạ này cho thấy hacker ngày càng tinh vi hơn và chúng sẽ không bao giờ ngừng tìm ra các kiểu tấn công có thể né tránh sự phát hiện của các công cụ diệt virus, bảo mật phổ biến. Bên cạnh đó, cần có sự giám sát kỹ lưỡng hơn với các công cụ mà các doanh nghiệp, tổ chức đưa ra để tránh bị lạm dụng.

Theo The HackerNews

 

 

TIN CÙNG CHUYÊN MỤC

Microsoft phát hành bản vá lỗi tháng 1-2...

11/01/2023 08:00:00 152
Các bản sửa lỗi Patch Tuesday đầu tiên do Microsoft cung cấp cho năm 2023 đã xử lý tổng cộng 98 lỗi ...

Hướng dẫn cách xoá lịch sử tìm kiếm trên...

09/01/2023 08:00:00 134
Nếu bạn không muốn ai khác vô tình nhìn thấy lịch sử tìm kiếm của bạn trên Facebook, bạn hoàn toàn c...

Kaspersky công bố người chiến thắng cuộc...

06/01/2023 08:00:00 200
Kaspersky đã tổ chức vòng chung kết của cuộc thi quốc tế dành cho sinh viên Secur'IT Cup. Nhóm sinh ...

Cập nhật ngay bản vá trên chip Qualcomm ...

05/01/2023 08:00:00 124
Qualcomm hôm thứ Ba đã phát hành các bản vá để giải quyết nhiều lỗi bảo mật trong chipset của mình, ...

Editor’s Choice 2022: Kaspersky đoạt giả...

30/12/2022 03:00:00 215
Kaspersky đã nhận được bình chọn cao nhất cho giải thưởng Thương hiệu bảo mật hiệu quả và uy tín nhấ...

Robot nên được sử dụng nhiều hơn trong s...

30/12/2022 08:00:00 240
Một nghiên cứu gần đây của Kaspersky về hệ quả của tự động hóa và việc tăng cường sử dụng robot cho ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ