Lockbit løsepengevirus benytter seg av Windows Defender for å sette opp Cobalt strike beacons. Stort nettverk med falske investeringssider retter seg mot Europa.
Lockbit løsepengevirus benytter seg av Windows Defender for å sette opp Cobalt strike beacons
| En trusselaktør som benytter seg av LockBit 3.0 bruker Windows Defender for å unngå at Cobalt Strike beacons skal bli oppdaget. Aktøren brukte Log4j sårbarheter for å få initiell tilgang til systemet. Deretter benyttet de seg av PowerShell for å laste ned tre filer, logfil, Windows kommandolinjeverktøy og en ondsinnet versjon av mpclient.dll. Når MpRunCmd eksekveres laster den inn den ondsinnede versjonen av mpclient.dll. Denne DLLen dekrypteres og installerer Cobalt Strike beacon fra log filen som ble installert med PowerShell. Tidligere har aktører benyttet seg av VMware kommandolinjeverktøy for å gjennomføre samme teknikker, men de har trolig byttet for å unngå deteksjon. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |
Stort nettverk med falske investeringssider retter seg mot Europa
| Etterforskere fra Group-IB oppdaget og kartlagte over 11 000 domener som er falske investeringssider. Per dags dato er mer enn 5000 av domenene fremdeles aktive og har hovedfokuset sitt på Belgia, Polen, Portugal, Nederland, Norge, Storbritannia, Sverige, Tsjekkia og Tyskland. Investeringssidene har produsert falske kjendisreklamer og falske suksesshistorier for å lure målene sine. Dersom en bruker går inn på ett av domenene vil de bli spurt om å investere en minimumssum på 255 dollar for å få tilgang til de falske tjenestene. | ||||
| Referanser | ||||
|---|---|---|---|---|
|
https://www.bleepingcomputer.com/news/securit[...] |