Ένας κακόβουλος παράγοντας χρησιμοποιεί ένα στέλεχος ransomware γνωστό ως LockBit 3.0 για να εκμεταλλευτεί το εργαλείο γραμμής εντολών του Windows Defender. Τα ωφέλιμα φορτία Cobalt Strike Beacon αναπτύσσονται στη διαδικασία.
Οι χρήστες των Windows κινδυνεύουν από επιθέσεις ransomware
Η εταιρεία κυβερνοασφάλειας SentinelOne ανέφερε έναν νέο παράγοντα απειλής που χρησιμοποιεί το LockBit 3.0 (γνωστό και ως LockBit Black) ransomware για κατάχρηση του αρχείου MpCmdRun.exe, ένα βοηθητικό πρόγραμμα γραμμής εντολών που αποτελεί αναπόσπαστο μέρος της Ασφάλειας των Windows Σύστημα. Το MpCmdRun.exe μπορεί να κάνει σάρωση για κακόβουλο λογισμικό, επομένως δεν αποτελεί έκπληξη το γεγονός ότι στοχεύεται σε αυτήν την επίθεση.
Το LockBit 3.0 είναι μια νέα επανάληψη κακόβουλου λογισμικού που αποτελεί μέρος του γνωστού LockBit ransomware-as-a-service (RaaS) οικογένεια, η οποία προσφέρει εργαλεία ransomware σε πελάτες που πληρώνουν.
Το LockBit 3.0 χρησιμοποιείται για την ανάπτυξη ωφέλιμων φορτίων Cobalt Strike μετά την εκμετάλλευση, τα οποία μπορούν να οδηγήσουν σε κλοπή δεδομένων. Το Cobalt Strike μπορεί επίσης να παρακάμψει την ανίχνευση λογισμικού ασφαλείας, διευκολύνοντας τον κακόβουλο παράγοντα να έχει πρόσβαση και να κρυπτογραφεί ευαίσθητες πληροφορίες στη συσκευή του θύματος.
Σε αυτήν την τεχνική πλευρικής φόρτωσης, το βοηθητικό πρόγραμμα Windows Defender εξαπατάται επίσης ώστε να δώσει προτεραιότητα και να φορτώσει ένα κακόβουλο DLL (βιβλιοθήκη δυναμικής σύνδεσης), το οποίο μπορεί στη συνέχεια να αποκρυπτογραφήσει το ωφέλιμο φορτίο Cobalt Strike μέσω ενός αρχείου .log.
Το LockBit έχει ήδη χρησιμοποιηθεί για κατάχρηση της γραμμής εντολών VMWare
Στο παρελθόν, οι ηθοποιοί του LockBit 3.0 είχαν επίσης εκμεταλλευτεί ένα εκτελέσιμο αρχείο γραμμής εντολών VMWare, γνωστό ως VMwareXferlogs.exe, για να αναπτύξουν beacons Cobalt Strike. Σε αυτήν την τεχνική πλευρικής φόρτωσης DLL, ο εισβολέας εκμεταλλεύτηκε την ευπάθεια Log4Shell και ξεγέλασε το βοηθητικό πρόγραμμα VMWare για να φορτώσει ένα κακόβουλο DLL αντί για το αρχικό, αβλαβές DLL.
Δεν είναι επίσης γνωστό γιατί το κακόβουλο μέρος έχει αρχίσει να εκμεταλλεύεται το Windows Defender αντί του VMWare τη στιγμή που γράφονται αυτές οι γραμμές.
Το SentinelOne αναφέρει ότι το VMWare και το Windows Defender είναι υψηλού κινδύνου
Σε Η ανάρτηση ιστολογίου του SentinelOne στις επιθέσεις LockBit 3.0, αναφέρθηκε ότι «το VMware και το Windows Defender έχουν υψηλή επικράτηση στην επιχείρηση και μια υψηλή χρησιμότητα για την απειλή των παραγόντων εάν τους επιτρέπεται να λειτουργούν εκτός της εγκατεστημένης ασφάλειας ελέγχους».
Επιθέσεις αυτού του είδους, όπου παρακάμπτονται τα μέτρα ασφαλείας, γίνονται ολοένα και πιο συχνές, με το VMWare και το Windows Defender να αποτελούν βασικούς στόχους σε τέτοιες επιχειρήσεις.
Οι επιθέσεις LockBit δεν δείχνουν σημάδια διακοπής
Αν και αυτό το νέο κύμα επιθέσεων έχει αναγνωριστεί από διάφορες εταιρείες κυβερνοασφάλειας, ζουν εκτός της γης τεχνικές εξακολουθούν να χρησιμοποιούνται συνεχώς για την εκμετάλλευση βοηθητικών εργαλείων και την ανάπτυξη κακόβουλων αρχείων για δεδομένα κλοπή. Δεν είναι γνωστό εάν θα γίνει κατάχρηση ακόμη περισσότερων βοηθητικών εργαλείων στο μέλλον χρησιμοποιώντας το LockBit 3.0 ή οποιαδήποτε άλλη επανάληψη της οικογένειας LockBit RaaS.
