Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Участились атаки с использованием VMware и Защитника Windows

04/08/22

windows defender-1

По данным ИБ-компании SentinelOne , оператор или партнер программы-вымогателя LockBit использует утилиту командной строки VMware под названием «VMwareXferlogs.exe» для боковой загрузки Cobalt Strike , а также инструмент командной строки, связанный с Защитником Windows. В частности, хакеры использовали «MpCmdRun.exe» для расшифровки и загрузки Cobalt Strike после эксплуатации.

Атака началась с эксплуатации уязвимости Log4Shell в экземпляре VMware Horizon Server. Затем хакеры провели разведку и попытались получить привилегии, необходимые для загрузки и выполнения полезной нагрузки после эксплуатации.

Эксперты предупредили ИБ-специалистов, что LockBit изучают и используют новые инструменты, чтобы загружать маяки Cobalt Strike и уклоняться от средств EDR-обнаружения и антивирусных программ.

«VMware и Защитник Windows широко распространены на предприятии и очень полезны для злоумышленников, если они могут обойти средств защиты системы», — добавили в SentinelOne.

Темы:VMWareУгрозыWindows DefenderSentinelOneLockBit

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...