Это выяснили специалисты компании SentinelOne. Оказалось, что хакеры для расшифровки и загрузки Cobalt Strike используют MpCmdRun.exe. Применение Windows Defender является одним из этапов кибератаки. Сначала компрометируются системы VMWare Horizon Server, на которых нет исправления к уязвимости Log4j. Когда хакеры проникают в нее, они делают попытки запустить серию команд и ряд инструментов пост-эксплуатации.
Получив необходимые привилегии, хакеры с контрольного сервера скачивают на скомпрометированную систему вредоносный DLL, передает cnews.ru. Также они устанавливают в форме MpCmdRun.exe зашифрованный вредоносный модуль и легитимный инструмент. Положительного результата хакеры добиваются, потому что атакуемая ими система уже скомпрометирована через старую уязвимость.
Ранее Solovei.info сообщал о найденной уязвимости в VPN Касперского.