Bekannte Sicherheitslücke
Bei einer Untersuchung haben die Forscher von SentinelOne jetzt festgestellt, dass Bedrohungsakteure den ersten Schritt für die Installation des Schadcodes über das Befehlszeilentool "mpcmdrun.exe" in Microsoft Defender vollziehen.
Infografik: Viren sind immer noch die größte Cyber-Bedrohung
Diese Neuigkeiten sollten laut dem Online-Magazin Neowin Microsoft in höchste Alarmbereitschaft versetzen, falls dies nicht bereits der Fall ist. Bei den Bedrohungsakteuren handelt es sich um Betreiber von LockBit, einer Ransomware as a Service (RaaS).
Die Bedrohungsakteure nutzen im Wesentlichen die Log4j-Schwachstelle aus, um MpCmdRun, die bösartige DLL-Datei "mpclient" und die verschlüsselte Cobalt Strike-Nutzlastdatei von ihrem Command-and-Control-Server herunterzuladen und das System eines potenziellen Opfers zu infizieren. Dieser Missbrauch von legitimen Tools ist dabei keine neue Idee. Erst im April 2022 hatte man beobachtet, dass LockBit das VMware-Befehlszeilendienstprogramm VMwareXferlogs.exe nutzte, um unbemerkt zu den regulären Aktionen die Malware Cobalt Strike zu laden.