【安全资讯】LockBit 勒索软件滥用 Windows Defender 加载 Cobalt Strike

LockBit勒索软件攻击者正在利用Microsoft Defender的命令行工具“MpCmdRun.exe”，来侧载恶意DLL，以解密和安装Cobalt Strike信标。最初的网络入侵都是通过利用易受攻击的 VMWare Horizon Server上的 Log4j 漏洞运行 PowerShell 代码来进行的。执行时，MpCmdRun.exe 将加载一个名为“mpclient.dll”的合法 DLL，执行的代码从“c0000015.log”文件加载和解密加密的 Cobalt Strike 有效载荷，该文件与攻击早期阶段的其他两个文件一起释放。