Sicherheitsforscher warnen nun davor, dass Hacker das Windows-Defender-Kommandozeilentool MpCmdRun.exe missbrauchen, um Malware unbemerkt zu verbreiten. Das Tool wird verwendet, um Computer mit Cobalt Strike zu infizieren und LockBit-Ransomware zu installieren. Dieser Angriff ist zunächst ganz klassisch. Im ersten Schritt werden mit der Malware Cobalt Strike Computer oder ganze Netzwerke durch bekannte Software-Schwachstellen übernommen. Sobald der vollständige Zugriff erlangt wurde, setzt LockBit Ransomware ein, verschlüsselt Systeme und sendet eine Lösegeldforderung.
Eine bekannte Schwachstelle
SentinelOne-Forscher haben jetzt entdeckt, dass Bedrohungsakteure den ersten Schritt bei der Installation von bösartigem Code über das Befehlszeilentool mpcmdrun.exe in Microsoft Defender unternehmen. Infografik: Viren sind nach wie vor die größte Cyberbedrohung. Diese Nachricht sollte Microsoft laut dem Online-Magazin Neowin in höchste Alarmbereitschaft versetzen, wenn dies nicht bereits der Fall ist. Die Bedrohungsakteure sind Betreiber von LockBit, einem Ransomware-as-a-Service (RaaS). Bedrohungsakteure nutzen im Wesentlichen die Log4j-Schwachstelle aus, um MpCmdRun, die bösartige „mpclient“-DLL und die verschlüsselte Cobalt Strike-Payload-Datei von ihrem Command-and-Control-Server herunterzuladen und das System eines potenziellen Opfers zu infizieren. Dieser Missbrauch juristischer Instrumente ist keine neue Idee. Erst im April 2022 wurde beobachtet, dass LockBit das VMware-Befehlszeilendienstprogramm VMwareXferlogs.exe verwendete, um die Malware Cobalt Strike unbemerkt zusammen mit den üblichen Aktionen zu laden.
Das Ziel ist für Unternehmen
Daher ist es gerade für Unternehmensnetzwerke wichtig, alle Tools, die durch die eingesetzte Sicherheitssoftware vom Netzwerkverkehr ausgeschlossen werden, sorgfältig zu prüfen. Produkte wie VMware und Windows Defender sind in Unternehmen weit verbreitet und bieten Bedrohungen einen großen Wert, wenn sie außerhalb installierter Sicherheitskontrollen agieren dürfen.
Laden Sie Defender und andere schädliche Apps herunter
Siehe auch:
Sicherheit, Sicherheit, Malware, Antivirus, Cybersicherheit, Antivirus, Windows-Logo, Windows Defender, Antimalware, Defender, Antivirus, Microsoft Defender, Antivirus, Windows Defender Advanced Threat Protection, Windows Antivirus, Center for Windows Defender Security, Windows Shield
Add Comment