【安全资讯】LockBit 勒索软件滥用 Windows Defender 加载 Cobalt Strike

猎影实验室 2022-08-01 03:24:34 2415人浏览

LockBit勒索软件攻击者正在利用Microsoft Defender的命令行工具“MpCmdRun.exe”,来侧载恶意DLL,以解密和安装Cobalt Strike信标。最初的网络入侵都是通过利用易受攻击的 VMWare Horizon Server上的 Log4j 漏洞运行 PowerShell 代码来进行的。执行时,MpCmdRun.exe 将加载一个名为“mpclient.dll”的合法 DLL,执行的代码从“c0000015.log”文件加载和解密加密的 Cobalt Strike 有效载荷,该文件与攻击早期阶段的其他两个文件一起释放。

LockBit 3.0 攻击链

 

 

失陷指标(IOC)14
勒索软件 LockBit
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。