Ļaunprātīgs dalībnieks izmanto izspiedējprogrammatūras celmu, kas pazīstams kā LockBit 3.0, lai izmantotu Windows Defender komandrindas rīku. Šajā procesā tiek izvietotas Cobalt Strike Beacon kravas.

Windows lietotāji ir pakļauti Ransomware uzbrukumu riskam

Kiberdrošības uzņēmums SentinelOne ir ziņojis par jaunu draudu dalībnieku, kurš izmanto LockBit 3.0 (pazīstams arī kā LockBit Black) ransomware, lai ļaunprātīgi izmantotu failu MpCmdRun.exe — komandrindas utilītu, kas ir Windows drošības neatņemama sastāvdaļa. sistēma. MpCmdRun.exe var skenēt ļaunprātīgu programmatūru, tāpēc nav pārsteigums, ka šī uzbrukuma mērķis ir tā.

LockBit 3.0 ir jauna ļaunprātīgas programmatūras iterācija, kas ir daļa no labi zināmā LockBit ransomware-as-a-service (RaaS) ģimene, kas maksā klientiem piedāvā izspiedējvīrusa rīkus.

LockBit 3.0 tiek izmantots, lai izvietotu pēcekspluatācijas Cobalt Strike lietderīgās slodzes, kas var izraisīt datu zādzību. Cobalt Strike var arī apiet drošības programmatūras noteikšanu, atvieglojot ļaunprātīgajam dalībniekam piekļuvi upura ierīcē esošajai sensitīvai informācijai un tās šifrēšanu.

Izmantojot šo sānu ielādes paņēmienu, arī Windows Defender utilīta tiek pievilta, lai noteiktu prioritāti un ielādētu ļaunprātīgu. DLL (dinamiskās saites bibliotēka), kas pēc tam var atšifrēt Cobalt Strike lietderīgo slodzi, izmantojot .log failu.

LockBit jau ir izmantots, lai ļaunprātīgi izmantotu VMWare komandrindu

Agrāk tika atklāts, ka LockBit 3.0 dalībnieki ir izmantojuši VMWare komandrindas izpildāmo failu, kas pazīstams kā VMwareXferlogs.exe, lai izvietotu Cobalt Strike bākas. Šajā DLL sānu ielādes tehnikā uzbrucējs izmantoja Log4Shell ievainojamību un piemānīja utilītu VMWare, lai sākotnējā, nekaitīgā DLL vietā ielādētu ļaunprātīgu DLL.

Nav arī zināms, kāpēc šī raksta tapšanas laikā ļaunprātīgā puse ir sākusi izmantot Windows Defender, nevis VMWare.

SentinelOne ziņo, ka VMWare un Windows Defender ir augsta riska pakāpe

In SentinelOne emuāra ieraksts par LockBit 3.0 uzbrukumiem tika teikts, ka "VMware un Windows Defender ir ļoti izplatīti uzņēmums un augsta lietderība apdraudējuma dalībniekiem, ja tiem ir atļauts darboties ārpus uzstādītās drošības vadīklas".

Šāda veida uzbrukumi, kuros drošības pasākumi tiek izvairīti, kļūst arvien izplatītāki, un VMWare un Windows Defender ir izvirzīti par galvenajiem mērķiem šādos uzņēmumos.

LockBit uzbrukumi neliecina par apstāšanās pazīmēm

Lai gan šo jauno uzbrukumu vilni ir atzinuši dažādi kiberdrošības uzņēmumi, kas dzīvo ārpus zemes paņēmieni joprojām tiek pastāvīgi izmantoti, lai izmantotu utilītu rīkus un izvietotu ļaunprātīgus failus zādzība. Nav zināms, vai nākotnē tiks ļaunprātīgi izmantots vēl vairāk utilītu rīku, izmantojot LockBit 3.0 vai kādu citu LockBit RaaS saimes iterāciju.