Redazione RHC : 2 Agosto 2022 22:16
Secondo la società di sicurezza informatica SentinelOne, l’operatore o uno degli affiliati dell’operazione ransomware LockBit utilizza un’utilità della riga di comando VMware denominata “VMwareXferlogs.exe” per eseguire il sideload di Cobalt Strike.
Inoltre utilizza uno strumento a riga di comando associato a Windows Defender. In particolare, gli hacker hanno utilizzato “MpCmdRun.exe” per decrittare e scaricare Cobalt Strike dopo lo sfruttamento.
L’attacco è iniziato sfruttando una vulnerabilità di Log4Shell in un’istanza di VMware Horizon Server.
Gli hacker hanno quindi condotto una ricognizione e hanno tentato di ottenere i privilegi necessari per scaricare ed eseguire il payload dopo lo sfruttamento.
Gli esperti hanno avvertito i professionisti della sicurezza che LockBit sta esplorando e utilizzando nuovi strumenti per scaricare i beacon Cobalt Strike ed eludere gli strumenti di rilevamento EDR e i programmi antivirus.
“VMware e Windows Defender sono ampiamente utilizzati nell’azienda e sono molto utili per gli aggressori se riescono a bypassare le protezioni del sistema”
ha aggiunto SentinelOne.
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009