Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Lockbit sta utilizzando exploit su VMware e Windows Defender per distribuire ransomware

Secondo la società di sicurezza informatica SentinelOne, l’operatore o uno degli affiliati dell’operazione ransomware LockBit utilizza un’utilità della riga di comando VMware denominata “VMwareXferlogs.exe” per eseguire il sideload di Cobalt Strike.

Inoltre utilizza uno strumento a riga di comando associato a Windows Defender. In particolare, gli hacker hanno utilizzato “MpCmdRun.exe” per decrittare e scaricare Cobalt Strike dopo lo sfruttamento.

L’attacco è iniziato sfruttando una vulnerabilità di Log4Shell in un’istanza di VMware Horizon Server

Gli hacker hanno quindi condotto una ricognizione e hanno tentato di ottenere i privilegi necessari per scaricare ed eseguire il payload dopo lo sfruttamento.

Advertisements

Gli esperti hanno avvertito i professionisti della sicurezza che LockBit sta esplorando e utilizzando nuovi strumenti per scaricare i beacon Cobalt Strike ed eludere gli strumenti di rilevamento EDR e i programmi antivirus.

“VMware e Windows Defender sono ampiamente utilizzati nell’azienda e sono molto utili per gli aggressori se riescono a bypassare le protezioni del sistema”

ha aggiunto SentinelOne.