0 added
0 removed
Original
2026-01-01
Modified
2026-02-21
1
<p>Злоумышленники нашли способ использовать инструменты командной строки в Windows Defender, чтобы загружать на устройства вирусы семейства<a>Cobalt Strike</a>. Эксперты по кибербезопасности из компании SentinelOne<a>рассказали</a>, что хакеры используют MpCmdRun.exe для расшифровки и загрузки вируса.</p>
1
<p>Злоумышленники нашли способ использовать инструменты командной строки в Windows Defender, чтобы загружать на устройства вирусы семейства<a>Cobalt Strike</a>. Эксперты по кибербезопасности из компании SentinelOne<a>рассказали</a>, что хакеры используют MpCmdRun.exe для расшифровки и загрузки вируса.</p>
2
<p>Подгрузка вируса через Windows Defender - один из этапов атаки. Сначала хакеры проникли в систему<a>VMWare Horizon Server</a>, в которой до сих пор не исправлена уязвимость<a>Log4j</a>, и изменили компонент Blast Secure Gateway, позволяющий через Windows Defender скачивать файлы на устройства жертвы.</p>
2
<p>Подгрузка вируса через Windows Defender - один из этапов атаки. Сначала хакеры проникли в систему<a>VMWare Horizon Server</a>, в которой до сих пор не исправлена уязвимость<a>Log4j</a>, и изменили компонент Blast Secure Gateway, позволяющий через Windows Defender скачивать файлы на устройства жертвы.</p>
3
<p>После получения доступа к системе злоумышленники скачивают с сервера в систему пользователя заражённый DLL-файл. Он содержит в себе исполняемую программу MpCmdRun.exe. Эта программа легитимна и даже содержит рабочую цифровую подпись.</p>
3
<p>После получения доступа к системе злоумышленники скачивают с сервера в систему пользователя заражённый DLL-файл. Он содержит в себе исполняемую программу MpCmdRun.exe. Эта программа легитимна и даже содержит рабочую цифровую подпись.</p>
4
<p>Вместе с MpCmdRun.exe дополнительно скачивается mpclient.dll. Это модифицированная библиотека, которую MpCmdRun.exe загружает автоматически и которая расшифровывает тело вируса Cobalt Strike, расположенного в файле C0000015.log.</p>
4
<p>Вместе с MpCmdRun.exe дополнительно скачивается mpclient.dll. Это модифицированная библиотека, которую MpCmdRun.exe загружает автоматически и которая расшифровывает тело вируса Cobalt Strike, расположенного в файле C0000015.log.</p>
5
<p>Главная проблема в том, что этот процесс абсолютно легитимен. Специалисты из SentinelOne <a>утверждают</a>, что вирус обходит антивирусы:</p>
5
<p>Главная проблема в том, что этот процесс абсолютно легитимен. Специалисты из SentinelOne <a>утверждают</a>, что вирус обходит антивирусы:</p>
6
<p>"Необходимо иметь в виду, что хакеры LockBit исследуют и используют новые инструменты living off the land - легитимные локальные средства, которые позволяют подгружать вирус Cobalt Strike и успешно обходят некоторые типичные EDR-системы и антивирусы".</p>
6
<p>"Необходимо иметь в виду, что хакеры LockBit исследуют и используют новые инструменты living off the land - легитимные локальные средства, которые позволяют подгружать вирус Cobalt Strike и успешно обходят некоторые типичные EDR-системы и антивирусы".</p>
7
<p>В апреле 2022 года те же исследователи из SentinelOne заметили, что группа хакеров LockBit пыталась эксплуатировать в тех же целях другую утилиту - VMwareXferlogs.exe. При атаках тоже использовался вредоносный DLL-файл.</p>
7
<p>В апреле 2022 года те же исследователи из SentinelOne заметили, что группа хакеров LockBit пыталась эксплуатировать в тех же целях другую утилиту - VMwareXferlogs.exe. При атаках тоже использовался вредоносный DLL-файл.</p>
8
8