LockBit 30勒索软件利用Windows Defender进行攻击

关键要点

根据Sentinel Labs的研究，和LockBit 30 勒索软件相关的威胁行为者已经通过利用Windows Defender命令行工具MpCmdRunexe，在被攻陷的系统上安装了Cobalt Strike信标。BleepingComputer的报道揭露了这一情况。

攻击者通过使用PowerShell来促进Windows CL实用工具的安装，以及相关的DLL和LOG文件。根据Sentinel Labs的报告，这些攻击者还开发了一个武器化的mpclientdll版本，此版本会在执行MpCmdRunexe时被加载，并放置在一个确保恶意DLL快速安装的位置。此外，报告显示一个加密的Cobalt Strike负载会被加载，并通过c0000015log文件进行解密。研究人员指出，威胁行为者还通过利用易受Log4j攻击的VMware Horizon服务器实现初始网络入侵，转而使用Windows Defender可能是为了避开检测。