Киберпрестъпници атакуват компютри с помощта на Windows Defender

Нападатели използват вградения в Windows инструмент Windows Defender за качване на Cobalt Strike маяци. Според експерти от SentinelOne става въпрос за киберпрестъпници, използващи рансъмуера като услуга (RaaS) LockBit.

Според SentinelOne нападателите използват MpCmdRun.exe, за да дешифрират и зареждане на Cobalt Strike, комерсиален инструмент за тестване, който се използва активно от киберпрестъпници.

Използването на Windows Defender е само един от етапите на атаката. Тя започва с компрометиране на VMWare Horizon Server системи, които не са коригирани за уязвимостта на Log4j. За целта нападателите са модифицирали компонент на Horizon, наречен Blast Secure Gateway, инсталирайки код на инструмента за автоматизация на Microsoft PowerShell.

След първоначалното проникване в системата нападателите се опитват да изпълнят поредица от команди и да стартират редица инструменти, включително Meterpreter и Empire (по-точно PowerShell Empire). След получаване на необходимите привилегии се изтегля зловреден DLL файл, криптиран зловреден модул, както и легитимен инструмент с формата на MpCmdRun.exe.

Файлът MpCmdRun.exe е легитимен и има работещ цифров подпис. Но заедно с него се изтегля mpclient.dll - модифицирана от нападателите библиотека, която MpCmdRun.exe зарежда автоматично и с която декриптира основното тяло на активния елемент (т.нар. payload - полезен товар) на Cobalt Strike, скрит в C0000015.log файл.

"Защитниците трябва да имат предвид, че операторите на LockBit и техните партньори проучват и използват нови инструменти от типа living off the land (т.е. легитимни локални средства) за зареждане на маяци Cobalt Strike, успешно заобикаляйки някои типични EDR системи и антивируси", се казва в публикацията на SentinelOne.

В края на април изследователите отбелязаха, че операторите на LockBit се опитват да използват друга помощна програма, VMwareXferlogs.exe, за същата цел - зареждане на маяци на Cobalt Strike. VMwareXferlogs.exe е легитимен инструмент за виртуализация на VMware, използван за комуникация с VMX регистрационни файлове. И в този случай се използва зловреден DLL файл, който позволява заобикаляне на инструментите за сигурност на виртуализираната система, включително тези, които откриват зловреден софтуер по неговото поведение. От SentinelOne тогава заподозряха, че функционалността за странично зареждане (sideloading) е внедрена не от основните оператори на LockBit, а от техни партньори.

Споменатата техника living off the land (т.е. живеене на базата на местни ресурси) не е нещо ново, просто не се използва толкова често. Тя може да е удобно решение, ако атакуваната система вече е компрометирана чрез стара уязвимост.