Ausgetrickst: Microsoft Defender führt Malware aus

B2B Cyber Security ShortNews

Beitrag teilen

LockBit-Akteure verwenden das Windows Defender-Befehlszeilentool MpCmdRun.exe, um PCs mit Cobalt Strike Beacon zu infizieren. Danach wird die Ransomware LockBit installiert. Microsoft sollte in höchster Alarmbereitschaft sein, wenn man das nicht schon ist.

Das Cybersicherheitsforschungsunternehmen SentinelOne hat Neuigkeiten veröffentlicht: Sie haben entdeckt, dass die interne Anti-Malware-Lösung von Microsoft missbraucht wird, um Cobalt Strike Beacon auf Opfer PCs und Server zu laden. Die Angreifer sind in diesem Fall Betreiber von LockBit Ransomware as a Service (RaaS).Als Einstieg zu Angriff wird das Befehlszeilentool in Defender namens MpCmdRun.exe missbraucht, um die PCs der Opfer zu infizieren.

Anzeige

Microsoft Defender Tool missbraucht

Die Angreifer nutzen an dieser Stelle die Log4j-Schwachstelle aus, um mit MpCmdRun.exe die verseuchte „mpclient“-DLL-Datei und die verschlüsselte Cobalt-Strike-Payload-Datei von ihrem Command-and-Control-Server herunterzuladen. So wird gezielt das System eines Opfers infiziert. Danach folgt der klassische Ablauf: es kommt die Erpressungssoftware LockBit zum Einsatz, das System wird verschlüsselt und zeigt eine eine Lösegeldforderung an.

LockBit schlüpft durch die Schwachstelle

LockBit hat in letzter Zeit ziemlich viel Aufmerksamkeit erhalten. Letzte Woche berichtete SentinelLabs über LockBit 3.0 ( alias LockBit Black) und beschrieb, wie die neueste Iteration dieses zunehmend verbreiteten RaaS eine Reihe von Anti-Analyse- und Anti-Debugging-Routinen implementierte. Die Forschung wurde schnell von anderen verfolgt, die ähnliche Ergebnisse berichteten . Unterdessen berichtete SentinelLabs bereits im April darüber, wie ein LockBit-Tochterunternehmen das legitime VMware-Befehlszeilenprogramm , VMwareXferlogs.exe, in einem Live-Einsatz nutzte, um Cobalt Strike von der Seite zu laden.

In einem ausführlichen Beitrag zeigt SentinelOne, wie das eigentlich legitime Tool des Microsoft Defender von den Angreifern missbraucht wird.

Mehr bei SentinelOne.com

 

Passende Artikel zum Thema

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

KI-Dienste: Überwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen

Cyberspionage: Europäische Behörden im Visier – auch Deutschland

Security-Experten haben eine Cyberspionage gegen europäische Behörden entdeckt. Hinter den Angriffen stecken möglicherweise russische Gruppen die auch Behörden in Deutschland ➡ Weiterlesen

SonicWall Firewall-Appliance mit kritischer Schwachstelle

SonicWall informiert über eine kritische 9.8 Schwachstelle in der Appliance vom Typ SMA1000. SonicWall stellt ein entsprechendes Update bereit, welches ➡ Weiterlesen