Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Secondo la società di sicurezza informatica SentinelOne, l’operatore o uno degli affiliati dell’operazione ransomware LockBit utilizza un’utilità della riga di comando VMware denominata “VMwareXferlogs.exe” per eseguire il sideload di Cobalt Strike.
Inoltre utilizza uno strumento a riga di comando associato a Windows Defender. In particolare, gli hacker hanno utilizzato “MpCmdRun.exe” per decrittare e scaricare Cobalt Strike dopo lo sfruttamento.
L’attacco è iniziato sfruttando una vulnerabilità di Log4Shell in un’istanza di VMware Horizon Server.
Gli hacker hanno quindi condotto una ricognizione e hanno tentato di ottenere i privilegi necessari per scaricare ed eseguire il payload dopo lo sfruttamento.
Gli esperti hanno avvertito i professionisti della sicurezza che LockBit sta esplorando e utilizzando nuovi strumenti per scaricare i beacon Cobalt Strike ed eludere gli strumenti di rilevamento EDR e i programmi antivirus.
“VMware e Windows Defender sono ampiamente utilizzati nell’azienda e sono molto utili per gli aggressori se riescono a bypassare le protezioni del sistema”
ha aggiunto SentinelOne.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
