Ausgetrickst: Microsoft Defender führt Malware aus

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

LockBit-Akteure verwenden das Windows Defender-Befehlszeilentool MpCmdRun.exe, um PCs mit Cobalt Strike Beacon zu infizieren. Danach wird die Ransomware LockBit installiert. Microsoft sollte in höchster Alarmbereitschaft sein, wenn man das nicht schon ist.

Das Cybersicherheitsforschungsunternehmen SentinelOne hat Neuigkeiten veröffentlicht: Sie haben entdeckt, dass die interne Anti-Malware-Lösung von Microsoft missbraucht wird, um Cobalt Strike Beacon auf Opfer PCs und Server zu laden. Die Angreifer sind in diesem Fall Betreiber von LockBit Ransomware as a Service (RaaS).Als Einstieg zu Angriff wird das Befehlszeilentool in Defender namens MpCmdRun.exe missbraucht, um die PCs der Opfer zu infizieren.

Anzeige

Microsoft Defender Tool missbraucht

Die Angreifer nutzen an dieser Stelle die Log4j-Schwachstelle aus, um mit MpCmdRun.exe die verseuchte „mpclient“-DLL-Datei und die verschlüsselte Cobalt-Strike-Payload-Datei von ihrem Command-and-Control-Server herunterzuladen. So wird gezielt das System eines Opfers infiziert. Danach folgt der klassische Ablauf: es kommt die Erpressungssoftware LockBit zum Einsatz, das System wird verschlüsselt und zeigt eine eine Lösegeldforderung an.

LockBit schlüpft durch die Schwachstelle

LockBit hat in letzter Zeit ziemlich viel Aufmerksamkeit erhalten. Letzte Woche berichtete SentinelLabs über LockBit 3.0 ( alias LockBit Black) und beschrieb, wie die neueste Iteration dieses zunehmend verbreiteten RaaS eine Reihe von Anti-Analyse- und Anti-Debugging-Routinen implementierte. Die Forschung wurde schnell von anderen verfolgt, die ähnliche Ergebnisse berichteten . Unterdessen berichtete SentinelLabs bereits im April darüber, wie ein LockBit-Tochterunternehmen das legitime VMware-Befehlszeilenprogramm , VMwareXferlogs.exe, in einem Live-Einsatz nutzte, um Cobalt Strike von der Seite zu laden.

Anzeige

In einem ausführlichen Beitrag zeigt SentinelOne, wie das eigentlich legitime Tool des Microsoft Defender von den Angreifern missbraucht wird.

Mehr bei SentinelOne.com

 

Passende Artikel zum Thema

Zero Day-Schwachstelle in Google Chrome Browser

Wie Tenable mitteilt, wurde eine Zero Day-Schwachstelle in Googles Browser Chrome gefunden. Man erwartet gezielte Attacken, allerdings mehr auf Personen, ➡ Weiterlesen

Attacken auf Zero-Day-Schwachstelle in Confluence

Nachdem die Zero-Day-Schwachstelle – jetzt als CVE-2022-26134 bekannt – in Atlassians Collaboration-Tool Confluence offengelegt ist, versuchen Angreifer diese gezielt auszunutzen. ➡ Weiterlesen

Microsoft schließt bekannte Sicherheitslücke erst nach 100 Tagen

Orca Security bemängelt die langsame Reaktion von Microsoft beim Beheben der SynLapse-Sicherheitslücke die erst nach 100 Tagen geschlossen wurde. Weitere ➡ Weiterlesen

770 Millionen Logs kompromittiert bei Travis CI API

Potenziell sind wohl mehr als 770 Millionen Logs der Travis-CI-API kompromittiert. Die kostenfreie Version des beliebten CI/DE-Tools hat eine neue ➡ Weiterlesen

KRITIS weiter im Visier auch ein Jahr nach Colinial Pipeline & Co.

Tenable sieht KRITIS Betreiber steigendem Bedrohungspotential ausgesetzt. Auch ein Jahr nach der schweren Attacke auf Colinial Pipeline & Co. mit ➡ Weiterlesen

BSI: Follina-Schwachstelle mit erhöhter Warnstufe

Bereits vor Wochen sorgte der neue Zero-Day-Bug Follina bei der Remote-Code-Ausführung in Microsoft Office für Wirbel. Genauer gesagt handelt es ➡ Weiterlesen

Ransomware & OneDrive: Angreifer löschen Versions-Backups

Proofpoint hat potenziell gefährliche Funktionen von Microsoft Office 365 entdeckt mit der Angreifer die auf SharePoint und OneDrive gespeicherte Versions-Dateien ➡ Weiterlesen

Exchange Server: viele über ProxyShell-Schwachstelle angreifbar

Obwohl es bereits Patches für die ProxyShell-Schwachstelle auf Microsoft Exchange gibt, werden diese nicht genutzt. Das macht es Cyberkriminellen leicht ➡ Weiterlesen