LockBit攻击者滥用Defender来感染设备

  网络安全公司SentinelOne，表示微软内置的反恶意软件解决方案已经被滥用，在受害者设备上加载Cobalt Strike信标。LockBit Ransomware as a Service (RaaS)运营商及其附属公司在Microsoft Defender中使用专门的命令行工具“mpcmdrun.exe”，实现感染受害者个人电脑。

  在博文中，SentinelOne表示："在近期的调查中，我们发现威胁者滥用Windows Defender 命令行工具MpCmdRun.exe 来破译和加载Cobalt Strike"。

  这种攻击方式和此前曝光的VMWare CLI案件非常相似。攻击者利用Log4j漏洞下载MpCmdRun，执行从Command-and-Control(C2)服务器下载恶意DLL文件和经过加密的Cobalt Strike payload文件，从而感染受害者的系统。

  滥用的MpCmd.exe可以侧载经过改装的mpclient.dll，该dll文件从c0000015.log文件中加载和解密Cobalt Strike Beacond。