網絡安全公司 SentinelOne 今天發布新聞稿,表示微軟內置的反惡意軟件解決方案已經被濫用,在受害者設備上加載 Cobalt Strike 信標。LockBit Ransomware as a Service (RaaS) 運營商及其附屬公司在 Microsoft Defender 中使用專門的命令行工具“mpcmdrun.exe”,實現感染受害者個人電腦。
在博文中,SentinelOne 表示:”在近期的調查中,我們發現威脅者濫用 Windows Defender 命令行工具 MpCmdRun.exe 來破譯和加載 Cobalt Strike”。
這種攻擊方式和此前曝光的 VMWare CLI 案件非常相似。攻擊者利用 Log4j 漏洞下載 MpCmdRun,執行從 Command-and-Control (C2) 服務器下載惡意 DLL 文件和經過加密的 Cobalt Strike payload 文件,從而感染受害者的系統。
濫用的 MpCmd.exe 可以側載經過改裝的 mpclient.dll,該 dll 文件從 c0000015.log 文件中加載和解密 Cobalt Strike Beacond。
