แรนซั่มแวร์ LockBit อาศัย Windows Defender โหลดตัว Cobalt Strike

ผู้โจมตีที่เกี่ยวข้องกับขบวนการแรนซั่มแวร์ LockBit 3.0 ได้ใช้ทูลคอมมานด์ไลน์ของ Windows Defender เพื่อโหลดตัว Cobalt Strike บนระบบที่ตกเป็นเหยื่อ แบบที่สามารถหลบเลี่ยงการตรวจจับปกติของซอฟต์แวร์ด้านความปลอดภัยได้

Cobalt Strike เป็นชุดโปรแกรมทดสอบการเจาะระบบที่ถูกกฎหมาย มาพร้อมฟีเจอร์มากมายจนได้รับความนิยมในหมู่ผู้ไม่ประสงค์ดีสำหรับใช้แอบสแกนตรวจช่องโหว่บนเครือข่าย และเคลื่อนย้ายตัวเองบนระบบก่อนจะจารกรรมและเข้ารหัสข้อมูล

แต่เนื่องจากโซลูชั่นความปลอดภัยใหม่ๆ สามารถตรวจจับพฤติกรรมของ Cobalt Strike ได้แล้ว ผู้โจมตีจึงพยายามพัฒนาวิธีใหม่ในการติดตั้งชุดทูลดังกล่าว โดยล่าสุดทาง Sentinel Labs พบการใช้ทูลคอมมานด์ไลน์ของ Microsoft Defender

เป็นตัวที่ชื่อ “MpCmdRun.exe” ที่ถูกวายร้ายมาใช้โหลด DLL อันตรายแบบคู่ขนาน (Side-Load) ที่จะนำมาถอดรหัสและติดตั้งตัว Cobalt Strike อีกทีหนึ่ง ซึ่งการเจาะเครือข่ายครั้งแรกนี้ทำได้โดยใช้ช่องโหว่ Log4j บนเซิร์ฟเวอร์ Horizon ของ VMware ในการรันโค้ดพาวเวอร์เชลล์

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer