Lockbit sta utilizzando exploit su VMware e Windows Defender per distribuire ransomware

Redazione RHC : 2 Agosto 2022 22:16

Secondo la società di sicurezza informatica SentinelOne, l’operatore o uno degli affiliati dell’operazione ransomware LockBit utilizza un’utilità della riga di comando VMware denominata “VMwareXferlogs.exe” per eseguire il sideload di Cobalt Strike.

Inoltre utilizza uno strumento a riga di comando associato a Windows Defender. In particolare, gli hacker hanno utilizzato “MpCmdRun.exe” per decrittare e scaricare Cobalt Strike dopo lo sfruttamento.

L’attacco è iniziato sfruttando una vulnerabilità di Log4Shell in un’istanza di VMware Horizon Server. 

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli hacker hanno quindi condotto una ricognizione e hanno tentato di ottenere i privilegi necessari per scaricare ed eseguire il payload dopo lo sfruttamento.

Gli esperti hanno avvertito i professionisti della sicurezza che LockBit sta esplorando e utilizzando nuovi strumenti per scaricare i beacon Cobalt Strike ed eludere gli strumenti di rilevamento EDR e i programmi antivirus.

“VMware e Windows Defender sono ampiamente utilizzati nell’azienda e sono molto utili per gli aggressori se riescono a bypassare le protezioni del sistema”

ha aggiunto SentinelOne.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli