Zákerný činiteľ používa kmeň ransomvéru známy ako LockBit 3.0 na zneužitie nástroja príkazového riadka programu Windows Defender. V tomto procese sa nasadzujú užitočné zaťaženia Cobalt Strike Beacon.
Používatelia systému Windows sú vystavení riziku útokov ransomvéru
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou SentinelOne oznámila nového aktéra hrozby, ktorý používa LockBit 3.0 (známy aj ako LockBit Black) ransomware na zneužitie súboru MpCmdRun.exe, nástroja príkazového riadka, ktorý tvorí neoddeliteľnú súčasť zabezpečenia systému Windows systém. MpCmdRun.exe dokáže skenovať malvér, takže nie je prekvapením, že je cieľom tohto útoku.
LockBit 3.0 je nová iterácia malvéru, ktorá je súčasťou známeho LockBit ransomware-as-a-service (RaaS) rodina, ktorá ponúka platiacim zákazníkom nástroje ransomvéru.
LockBit 3.0 sa používa na nasadenie užitočného zaťaženia Cobalt Strike po exploatácii, čo môže viesť ku krádeži údajov. Cobalt Strike dokáže obísť aj detekciu bezpečnostného softvéru, čím sa škodcom uľahčí prístup k citlivým informáciám na zariadení obete a ich šifrovanie.
Pri tejto technike bočného načítania je nástroj Windows Defender tiež oklamaný, aby uprednostnil a načítal škodlivý softvér DLL (dynamická knižnica), ktorý potom dokáže dešifrovať obsah Cobalt Strike prostredníctvom súboru .log.
LockBit už bol použitý na zneužitie príkazového riadku VMWare
V minulosti sa tiež zistilo, že herci LockBit 3.0 zneužívali spustiteľný súbor príkazového riadka VMWare, známy ako VMwareXferlogs.exe, na nasadenie majákov Cobalt Strike. V tejto technike bočného načítania DLL útočník zneužil zraniteľnosť Log4Shell a oklamal obslužný program VMWare, aby načítal škodlivú knižnicu DLL namiesto pôvodnej, neškodnej knižnice DLL.
Nie je tiež známe, prečo v čase písania tohto článku škodlivá strana začala využívať program Windows Defender namiesto VMWare.
SentinelOne hlási, že VMWare a Windows Defender sú vysoko rizikové
In Blogový príspevok SentinelOne o útokoch LockBit 3.0 bolo uvedené, že „VMware a Windows Defender majú vysokú prevalenciu podnik a vysoká užitočnosť pre aktérov ohrozenia, ak môžu pôsobiť mimo nainštalovaného zabezpečenia ovládacie prvky“.
Útoky tohto charakteru, pri ktorých sa vyhýbajú bezpečnostným opatreniam, sú čoraz bežnejšie, pričom VMWare a Windows Defender sa stali kľúčovými cieľmi takýchto podnikov.
Útoky LockBit nevykazujú žiadne známky zastavenia
Hoci túto novú vlnu útokov uznali rôzne spoločnosti zaoberajúce sa kybernetickou bezpečnosťou, ktoré žijú mimo územia Techniky sa stále používajú na využívanie pomocných nástrojov a nasadzovanie škodlivých súborov pre údaje krádežou. Nie je známe, či sa v budúcnosti zneužije ešte viac nástrojov pomocou LockBit 3.0 alebo inej iterácie rodiny LockBit RaaS.