Что случилось
Злоумышленники нашли способ использовать инструменты командной строки в Windows Defender, чтобы загружать на устройства вирусы семейства Cobalt Strike. Эксперты по кибербезопасности из компании SentinelOne рассказали, что хакеры используют MpCmdRun.exe для расшифровки и загрузки вируса.
Как они это делают
Подгрузка вируса через Windows Defender — один из этапов атаки. Сначала хакеры проникли в систему VMWare Horizon Server, в которой до сих пор не исправлена уязвимость Log4j, и изменили компонент Blast Secure Gateway, позволяющий через Windows Defender скачивать файлы на устройства жертвы.
После получения доступа к системе злоумышленники скачивают с сервера в систему пользователя заражённый DLL-файл. Он содержит в себе исполняемую программу MpCmdRun.exe. Эта программа легитимна и даже содержит рабочую цифровую подпись.
Вместе с MpCmdRun.exe дополнительно скачивается mpclient.dll. Это модифицированная библиотека, которую MpCmdRun.exe загружает автоматически и которая расшифровывает тело вируса Cobalt Strike, расположенного в файле C0000015.log.
Как тогда защититься
Главная проблема в том, что этот процесс абсолютно легитимен. Специалисты из SentinelOne утверждают, что вирус обходит антивирусы:
«Необходимо иметь в виду, что хакеры LockBit исследуют и используют новые инструменты living off the land — легитимные локальные средства, которые позволяют подгружать вирус Cobalt Strike и успешно обходят некоторые типичные EDR-системы и антивирусы».
В апреле 2022 года те же исследователи из SentinelOne заметили, что группа хакеров LockBit пыталась эксплуатировать в тех же целях другую утилиту — VMwareXferlogs.exe. При атаках тоже использовался вредоносный DLL-файл.