網絡安全公司SentinelOne 今天發布新聞稿，表示微軟內置的反惡意軟件解決方案已經被濫用，在受害者設備上加載Cobalt Strike信標。LockBit Ransomware as a Service (RaaS) 運營商及其附屬公司在Microsoft Defender 中使用專門的命令行工具“mpcmdrun.exe”，實現感染受害者個人電腦。

在博文中，SentinelOne 表示：”在近期的調查中，我們發現威脅者濫用Windows Defender 命令行工具MpCmdRun.exe 來破譯和加載Cobalt Strike”。

這種攻擊方式和此前曝光的VMWare CLI 案件非常相似。攻擊者利用Log4j 漏洞下載MpCmdRun，執行從Command-and-Control (C2) 服務器下載惡意DLL 文件和經過加密的Cobalt Strike payload 文件，從而感染受害者的系統。

濫用的MpCmd.exe 可以側載經過改裝的mpclient.dll，該dll 文件從c0000015.log 文件中加載和解密Cobalt Strike Beacond。