Ausgetrickst: Microsoft Defender führt Malware aus

B2B Cyber Security ShortNews

Beitrag teilen

LockBit-Akteure verwenden das Windows Defender-Befehlszeilentool MpCmdRun.exe, um PCs mit Cobalt Strike Beacon zu infizieren. Danach wird die Ransomware LockBit installiert. Microsoft sollte in höchster Alarmbereitschaft sein, wenn man das nicht schon ist.

Das Cybersicherheitsforschungsunternehmen SentinelOne hat Neuigkeiten veröffentlicht: Sie haben entdeckt, dass die interne Anti-Malware-Lösung von Microsoft missbraucht wird, um Cobalt Strike Beacon auf Opfer PCs und Server zu laden. Die Angreifer sind in diesem Fall Betreiber von LockBit Ransomware as a Service (RaaS).Als Einstieg zu Angriff wird das Befehlszeilentool in Defender namens MpCmdRun.exe missbraucht, um die PCs der Opfer zu infizieren.

Microsoft Defender Tool missbraucht

Die Angreifer nutzen an dieser Stelle die Log4j-Schwachstelle aus, um mit MpCmdRun.exe die verseuchte „mpclient“-DLL-Datei und die verschlüsselte Cobalt-Strike-Payload-Datei von ihrem Command-and-Control-Server herunterzuladen. So wird gezielt das System eines Opfers infiziert. Danach folgt der klassische Ablauf: es kommt die Erpressungssoftware LockBit zum Einsatz, das System wird verschlüsselt und zeigt eine eine Lösegeldforderung an.

LockBit schlüpft durch die Schwachstelle

LockBit hat in letzter Zeit ziemlich viel Aufmerksamkeit erhalten. Letzte Woche berichtete SentinelLabs über LockBit 3.0 ( alias LockBit Black) und beschrieb, wie die neueste Iteration dieses zunehmend verbreiteten RaaS eine Reihe von Anti-Analyse- und Anti-Debugging-Routinen implementierte. Die Forschung wurde schnell von anderen verfolgt, die ähnliche Ergebnisse berichteten . Unterdessen berichtete SentinelLabs bereits im April darüber, wie ein LockBit-Tochterunternehmen das legitime VMware-Befehlszeilenprogramm , VMwareXferlogs.exe, in einem Live-Einsatz nutzte, um Cobalt Strike von der Seite zu laden.

In einem ausführlichen Beitrag zeigt SentinelOne, wie das eigentlich legitime Tool des Microsoft Defender von den Angreifern missbraucht wird.

Mehr bei SentinelOne.com

 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen