Mã độc Lockbit hack chính phần mềm diệt virus trong Windows để lây nhiễm

Theo SentinelOne, công cụ chống/diệt virus của Microsoft đang bị hacker lạm dụng để tải Cobalt Strike beacon lên máy của các nạn nhân tiềm năng. Qua đó, hacker có thể cài đặt lên máy của nạn nhân ransomware LockBit bằng cách sử dụng công cụ dòng lệnh chuyên dụng trong Defender có tên "mpcmdrun.exe".

Trên blog của mình, SentinelOne viết như sau:

Trong một cuộc điều tra gần đây, chúng tôi phát hiện ra rằng hacker đang lạm dụng công cụ dòng lệnh MpCmdRun.exe của Windows Defender (tên cũ của Microsoft Defender) để giải mã và tải các payload Cobalt Strike.

Đây là một hành vi rất đáng chú ý và cần phải được đề phòng đúng mực. Quá trình tấn công khá giống với trường hợp của VMware CLI trước đó. Về cơ bản, hacker khai thác lỗ hổng Log4j để tải xuống MpCmdRun, tệp DLL độc hại "mpclient" và file payload Cobalt Strike đã được mã hóa từ máy chủ Command-and-Control (C2) của nó để lây nhiễm vào máy tính của bạn nhân.

MpCmd.exe bị lạm dụng để side-load một file mpclient.dll đã được đặc chế, tải và giải mã Cobalt Strike beacon từ file c0000015.log.

Do đó, các thành phần được sử dụng trong cuộc tấn công liên quan cụ thể tới việc sử dụng công cụ dòng lệnh của Windows Defender là:

MpCmdRun.exe: Tiện ích Microsoft Defender hợp pháp, đã được ký xác nhận

mpclient.dll: File DLL đặc chế được tải bởi MpCmdRun.exe

C0000015.log: Payload Cobalt Strike đã được mã hóa

Đây là chuỗi tấn công của hacker:

Phương thức tấn công mới lạ này cho thấy hacker ngày càng tinh vi hơn và chúng sẽ không bao giờ ngừng tìm ra các kiểu tấn công có thể né tránh sự phát hiện của các công cụ diệt virus, bảo mật phổ biến. Bên cạnh đó, cần có sự giám sát kỹ lưỡng hơn với các công cụ mà các doanh nghiệp, tổ chức đưa ra để tránh bị lạm dụng.

Theo The HackerNews