Злонамерен актьор използва разновидност на рансъмуер, известен като LockBit 3.0, за да използва инструмента за команден ред на Windows Defender. Полезните товари на Cobalt Strike Beacon се разполагат в процеса.
Потребителите на Windows са изложени на риск от Ransomware атаки
Фирмата за киберсигурност SentinelOne съобщи за нова заплаха, която използва LockBit 3.0 (известен също като LockBit Black) ransomware за злоупотреба с файла MpCmdRun.exe, помощна програма за команден ред, която представлява неразделна част от Windows Security система. MpCmdRun.exe може да сканира за зловреден софтуер, така че не е изненадващо, че е насочен към тази атака.
LockBit 3.0 е нова итерация на зловреден софтуер, която е част от добре познатия LockBit рансъмуер като услуга (RaaS) семейство, което предлага инструменти за рансъмуер на плащащи клиенти.
LockBit 3.0 се използва за внедряване на полезни товари на Cobalt Strike след експлоатацията, което може да доведе до кражба на данни. Cobalt Strike може също така да заобиколи откриването на софтуер за сигурност, което улеснява достъпа на злонамерения актьор и криптирането на чувствителна информация на устройството на жертвата.
При тази техника за странично зареждане помощната програма Windows Defender също е подмамена да даде приоритет и да зареди злонамерен DLL (библиотека с динамични връзки), който след това може да дешифрира полезния товар Cobalt Strike чрез .log файл.
LockBit вече е бил използван за злоупотреба с командния ред на VMWare
В миналото беше установено също, че участниците в LockBit 3.0 са използвали изпълним файл от командния ред на VMWare, известен като VMwareXferlogs.exe, за внедряване на маяци Cobalt Strike. При тази техника за странично зареждане на DLL, атакуващият използва уязвимостта на Log4Shell и подмами помощната програма VMWare да зареди злонамерен DLL вместо оригиналния, безвреден DLL.
Също така не е известно защо злонамерената страна е започнала да експлоатира Windows Defender вместо VMWare по време на писането.
SentinelOne съобщава, че VMWare и Windows Defender са високорискови
в Публикация в блога на SentinelOne относно атаките на LockBit 3.0 беше заявено, че „VMware и Windows Defender имат голямо разпространение в предприятие и висока полезност за участниците в заплахата, ако им е позволено да работят извън инсталираната защита контроли“.
Атаки от този характер, при които се избягват мерките за сигурност, стават все по-често срещани, като VMWare и Windows Defender са превърнати в ключови мишени в подобни начинания.
LockBit атаките не показват признаци на спиране
Въпреки че тази нова вълна от атаки е разпозната от различни компании за киберсигурност, живеещите извън земята техники все още се използват непрекъснато за използване на помощни инструменти и внедряване на злонамерени файлове за данни кражба. Не е известно дали още повече помощни инструменти ще бъдат злоупотребявани в бъдеще с помощта на LockBit 3.0 или друга итерация на фамилията LockBit RaaS.