Предупреждения оказались ложными и были вызваны неправильным правилом, переданным программному обеспечению.
https://www.securitylab.ru/upload/ib...f326f3421d.jpg
Пользователи решения безопасности Microsoft Defender Advanced Threat Protection (ATP) сообщили о получении предупреждений об угрозе Cobalt Strike и Mimikatz, которые на самом деле оказались ложными.
Антивирусное приложение Microsoft Defender ATP предназначено только для корпоративных пользователей с действующей лицензией Microsoft 365 E5. Microsoft Defender ATP помогает корпоративным пользователям оставаться защищенными от угроз кибербезопасности, таких как вредоносные приложения и опасные web-сайты, которые могут использоваться для кражи информации. Платформа также позволяет специалистам по обеспечению информационной безопасности предотвращать, обнаруживать и расследовать инциденты, связанные с кибербезопасностью на предприятиях.
Microsoft Defender ATP вызвал у некоторых пользователей панику, продемонстрировав несколько предупреждений об опасной угрозе Cobalt Strike. Другие пользователи сообщили , что видели предупреждения о Mimikatz. В обоих случаях уведомления оказались ложными.
Предположительно, проблема была вызвана неправильным правилом, переданным в Defender ATP, и Microsoft решила проблему в течение нескольких часов.
«Мы решили проблему, которая приводила к ложным срабатываниям предупреждений, и исправили уведомления, которые могли получать некоторые клиенты», — сообщил представитель Microsoft.
Cobalt Strike — инструмент для тестирования на проникновение, который зачастую используется злоумышленники из-за расширенных возможностей, в том числе в атаках Ryuk, Sodinokibi и других программ-вымогателей. Mimikatz — инструмент, используемый после эксплуатации и предназначенный для хищения паролей из взломанных систем. Его также использовали многие киберпреступные APT-группировки.