Hackare anvÀnder verktyget Windows Defender för att installera ransomware

Hackare anvÀnder verktyget Windows Defender för att installera ransomware

Hackare har anvÀnt ett Windows Defender-verktyg för att distribuera oupptÀckt LockBit 3.0 ransomware pÄ ett system. Det amerikanska datasÀkerhetsföretaget SentinelOne undersökte hÀndelsen.

Angriparna kom in pĂ„ en server genom en sĂ„rbarhet i log4j-loggprogrammet. De körde ett antal kommandon i PowerShell, vilket inkluderade att anvĂ€nda Windows Defenders MpCmdRun.exe kommandoradsverktyg för att sĂ€tta upp en sĂ„ kallad Cobalt Strike ‘beacon’.

Cobalt Strike Àr legitim programvara för att utföra system- och nÀtverkspenetrationer, men hackare anvÀnder den nu för att sÀtta upp en beacon, som gör att skadlig programvara kan laddas upp till en server. I det hÀr fallet var det LockBit 3.0 ransomware, som krypterar dina filer och krÀver kryptovalutor som lösensumma.

Det Àr inte första gÄngen som LockBit 3.0-angripare har anvÀnt legitim programvara för sina metoder, eftersom VMWares eget kommandoradsgrÀnssnitt redan har kommit till spel.

KĂ€lla: SentinelOne

« FöregÄende inlÀgg NÀsta inlÀgg »