Операторы LockBit используют Windows Defender для загрузки Cobalt Strike

Екатерина Быстрова 01 Августа 2022 - 12:29

Домашние пользователи

Корпорации

Windows

Microsoft Windows Defender

Программы-вымогатели

Программы-шифровальщики

...

Операторы LockBit используют Windows Defender для загрузки Cobalt Strike

Операторы вредоносной программы LockBit версии 3.0 используют командную строку антивирусной программы Windows Defender для загрузки «маячков» Cobalt Strike на скомпрометированные системы и обхода защитных средств.

Напомним, что Cobalt Strike представляет собой вполне легитимный набор для пентестера, однако именно его предпочитает ряд киберпреступных группировок. Как правило, с помощью Cobalt Strike хорошо подготовленные злоумышленники проводят разведку и передвигаются латерально по сети жертвы, прежде чем выкрасть или зашифровать данные.

Тем не менее антивирусные продукты сейчас достаточно успешно детектируют так называемые маячки Cobalt Strike, поэтому атакующим приходится искать новые способы установки тулкита.

В последних кампаниях операторов LockBit, на которые обратили внимание специалисты Sentinel Labs, используется инструмент командной строки, известный как “MpCmdRun.exe“ (относится к встроенной антивирусной программе Microsoft Defender). Злоумышленники задействуют MpCmdRun.exe для сторонней загрузки вредоносных DLL, которые шифруют и инсталлируют маячки Cobalt Strike.

Такие кибератаки начинались с эксплуатации уязвимости Log4j, которая почему-то не была пропатчена на целевых серверах VMWare Horizon. С помощью эксплойта преступники запускали код PowerShell.

После получения контроля над атакуемой системой и необходимых прав атакующие загружали три файла: безобидную копию утилиты Windows CL, DLL и LOG-файл.

Как известно, при запуске MpCmdRun.exe инструмент подгружает библиотеку с именем “mpclient.dll“ — она необходима для корректного функционирования программы. В зафиксированных SentinelLabs атаках злоумышленники использовали вредоносную версию mpclient.dll, помещая её в директорию с приоритетом загрузки.

При подключении злонамеренного файла он загружает и шифрует пейлоад Cobalt Strike из файла “c0000015.log“.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 17:26

Общее

ЦИПР-2026 посвятят цифровой независимости промышленности

XI конференция ЦИПР пройдёт в Нижнем Новгороде с 18 по 21 мая 2026 года. В этом году организаторы делают главный акцент на промышленной конкурентоспособности России и на том, как собственные цифровые решения можно масштабно внедрять в разные отрасли экономики.

Отмечается, что этап экстренного импортозамещения во многом уже пройден, и теперь разговор всё больше смещается к цифровому суверенитету, то есть к развитию и внедрению российских технологий как полноценной основы для промышленности и экономики в целом.

Центральной темой деловой программы станет цифровая независимость промышленности. На пленарном заседании участники будут обсуждать внедрение цифровых платформ, их реальный экономический эффект и инструменты, которые помогают развивать технологически независимые продукты внутри страны.

В программе (PDF) заявлены сразу пять основных треков. Это «Цифровые индустрии», «Цифровая инфраструктура», «Цифровой суверенитет», «Цифровой человек» и «ЦИПР. Блэк» — серия дискуссий про острые и спорные эффекты цифровых технологий для экономики и повседневной жизни.

Дополнят программу и специальные треки. Среди них направления про предпринимательство, международное сотрудничество, искусственный интеллект и кибербезопасность. Так что разговор пойдёт не только о заводах, платформах и интеграторах, но и о том, как технологии влияют на бизнес, экспорт, безопасность и жизнь людей.

Отдельное внимание на ЦИПР-2026 собираются уделить международному взаимодействию. Ожидается участие делегаций из стран БРИКС и других государств, заинтересованных в совместных технологических проектах и развитии цифровой экономики.

Площадками конференции станут зеркальный павильон и главное историческое здание Нижегородской ярмарки. А сразу после деловой части, с 21 по 23 мая, в городе пройдёт ещё и фестиваль «Тех-Френдли Викенд».

По сути, в 2026 году организаторы явно хотят сделать упор уже не столько на замену иностранного ПО, сколько на обсуждение того, как российские решения могут стать устойчивой и масштабной основой для промышленности, госинициатив и выхода на внешние рынки.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!