Złośliwy aktor używa szczepu ransomware znanego jako LockBit 3.0, aby wykorzystać narzędzie wiersza poleceń Windows Defender. Ładunki Cobalt Strike Beacon są w trakcie wdrażania.
Użytkownicy systemu Windows są narażeni na ataki ransomware
Firma SentinelOne zajmująca się cyberbezpieczeństwem zgłosiła nowego cyberprzestępcę, który używa LockBit 3.0 (znanego również jako LockBit Black) ransomware do nadużywania pliku MpCmdRun.exe, narzędzia wiersza poleceń, które stanowi integralną część systemu Windows Security system. MpCmdRun.exe może skanować w poszukiwaniu złośliwego oprogramowania, więc nie jest zaskoczeniem, że jest celem tego ataku.
LockBit 3.0 to nowa iteracja złośliwego oprogramowania, która stanowi część dobrze znanego LockBit ransomware jako usługa (RaaS) rodzina, która oferuje narzędzia ransomware płacącym klientom.
LockBit 3.0 jest używany do wdrażania poeksploatacyjnych ładunków Cobalt Strike, co może prowadzić do kradzieży danych. Cobalt Strike może również ominąć wykrywanie oprogramowania zabezpieczającego, ułatwiając złośliwemu graczowi dostęp i szyfrowanie poufnych informacji na urządzeniu ofiary.
W tej technice ładowania bocznego narzędzie Windows Defender jest również oszukiwane w celu ustalenia priorytetów i załadowania złośliwego oprogramowania DLL (biblioteka dołączana dynamicznie), który może następnie odszyfrować ładunek Cobalt Strike za pomocą pliku .log.
LockBit był już używany do nadużywania wiersza poleceń VMWare
W przeszłości aktorzy LockBit 3.0 również wykorzystywali plik wykonywalny wiersza poleceń VMWare, znany jako VMwareXferlogs.exe, do wdrażania sygnałów nawigacyjnych Cobalt Strike. W tej technice ładowania bocznego DLL osoba atakująca wykorzystała lukę Log4Shell i nakłoniła narzędzie VMWare do załadowania złośliwej biblioteki DLL zamiast oryginalnej, nieszkodliwej biblioteki DLL.
Nie wiadomo również, dlaczego w chwili pisania tego artykułu złośliwa strona zaczęła wykorzystywać program Windows Defender zamiast VMWare.
SentinelOne donosi, że VMWare i Windows Defender są obarczone wysokim ryzykiem
W Post na blogu SentinelOne w przypadku ataków LockBit 3.0 stwierdzono, że „VMware i Windows Defender mają wysoką przewagę przedsiębiorstwa i wysoka użyteczność dla zagrożenia aktorów, jeśli wolno im działać poza zainstalowanymi zabezpieczeniami sterownica".
Ataki tego rodzaju, w których omija się środki bezpieczeństwa, stają się coraz bardziej powszechne, a VMWare i Windows Defender stały się kluczowymi celami w takich przedsięwzięciach.
Ataki LockBit nie wykazują oznak zatrzymania
Chociaż ta nowa fala ataków została dostrzeżona przez różne firmy zajmujące się cyberbezpieczeństwem, żyjąc poza lądem Techniki wciąż są wykorzystywane do wykorzystywania narzędzi narzędziowych i rozmieszczania szkodliwych plików dla danych kradzież. Nie wiadomo, czy w przyszłości przy użyciu LockBit 3.0 lub jakiejkolwiek innej iteracji rodziny LockBit RaaS nadużyje się jeszcze więcej narzędzi użytkowych.
