Операторы вымогателя LockBit 3.0 злоупотребляют инструментом командной строки Windows Defender, чтобы загружать маяки Cobalt Strike на скомпрометированные машины и избегать обнаружения.Хакер Online
Стоит напомнить, что Cobalt Strike представляет собой легитимный коммерческий инструмент, созданный для пентестеров и red team и ориентированный на эксплуатацию и постэксплуатацию.Хакер Online
Первоначальной точкой компрометация, в обоих изученных аналитиками Sentinel Labs случаях, стала эксплуатация уязвимости Log4j на уязвимых серверах VMWare Horizon, что приводило к запуску кода PowerShell.Хакер Online
Получив доступ к целевой системе и необходимые привилегии, злоумышленники используют PowerShell для загрузки трех файлов: чистой копии утилиты Windows CL, файла DLL и файла LOG.Хакер Online