Operadores de LockBit que abusan de Microsoft Defender para cargar Cobalt Strike Beacon

Investigadores de la compañía de ciberseguridad SentinelOne han descubierto que Windows Defender de Microsoft está siendo abusado por un actor de amenazas asociado con la operación de ransomware LockBit 3.0 para cargar balizas Cobalt Strike en sistemas potencialmente comprometidos y evadir herramientas de detección EDR y AV.

Los investigadores descubrieron que se abusaba de la herramienta de línea de comandos de Microsoft Defender "MpCmdRun.exe" para descargar archivos DLL maliciosos que descifran e instalan balizas Cobalt Strike en las PC de las víctimas.

Para aquellos que no lo saben, MpCmdRun es una parte importante del sistema de seguridad de Windows de Microsoft que ayuda a proteger su PC de amenazas en línea y malware.

"Durante una investigación reciente, descubrimos que los actores de amenazas estaban abusando de la herramienta de línea de comandos de Windows Defender MpCmdRun.exe para descifrar y cargar las cargas útiles de Cobalt Strike", SentinelOne escribió en detalle sobre el nuevo ataque en su entrada de blog.

ataque de carga lateral lokbit

El compromiso inicial del objetivo en ambos casos ocurrió al explotar el Vulnerabilidad log4j contra un VMWare Horizon Server sin parches para ejecutar el código PowerShell, que descargó MpCmdRun.exe, el archivo DLL malicioso "mpclient" y el archivo de carga útil cifrado Cobalt Strike de su servidor Command-and-Control (C2).

El actor de amenazas descarga una DLL maliciosa, la carga útil cifrada y la herramienta legítima desde su C2 controlado:

En particular, el actor de amenazas aprovecha la herramienta de línea de comandos legítima de Windows Defender MpCmdRun.exe para descifrar y cargar las cargas útiles de Cobalt Strike.

[…] MpCmd.exe (sic) es abusado para cargar lateralmente un arma mpclient.dllque carga y descifra Cobalt Strike Beacon desde el archivo c0000015.log.

Por tanto, los componentes utilizados en el ataque específicamente relacionados con el uso de la herramienta de línea de comandos de Windows Defender son:

Nombre del archivoDescripción
mpclient.dllDLL armado cargado por MpCmdRun.exe
MpCmdRun.exeUtilidad legítima/firmada de Microsoft Defender
C0000015.logCarga útil de Cobalt Strike encriptada

Para obtener más detalles técnicos, puede consultar el oficial publicación de blog aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: Susana Natividad Gomez.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
Utilizamos cookies para una mejor experiencia. Al utilizar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestra Política de Cookies.    Configurar y más información
Privacidad