Zlonamjerni akter koristi vrstu ransomwarea poznatu kao LockBit 3.0 za iskorištavanje alata naredbenog retka Windows Defender. Cobalt Strike Beacon korisni tereti se raspoređuju u procesu.
Windows korisnici su u opasnosti od napada ransomwarea
Tvrtka za kibernetičku sigurnost SentinelOne prijavila je novog aktera prijetnje koji koristi LockBit 3.0 (također poznat kao LockBit Black) ransomware za zlouporabu datoteke MpCmdRun.exe, uslužnog programa naredbenog retka koji čini sastavni dio sigurnosnog sustava Windows sustav. MpCmdRun.exe može skenirati u potrazi za zlonamjernim softverom, pa ne čudi što je na meti ovog napada.
LockBit 3.0 nova je iteracija zlonamjernog softvera koja čini dio dobro poznatog LockBita ransomware-as-a-service (RaaS) obitelj, koja nudi alate za ucjenu softvera klijentima koji plaćaju.
LockBit 3.0 koristi se za implementaciju korisnih opterećenja Cobalt Strike nakon eksploatacije, što može dovesti do krađe podataka. Cobalt Strike također može zaobići otkrivanje sigurnosnog softvera, olakšavajući zlonamjernom akteru pristup i šifriranje osjetljivih informacija na žrtvinom uređaju.
U ovoj tehnici bočnog učitavanja, uslužni program Windows Defender također je prevaren da odredi prioritet i učita zlonamjerni DLL (biblioteka dinamičkog povezivanja), koji zatim može dekriptirati korisni teret Cobalt Strike putem .log datoteke.
LockBit je već korišten za zlouporabu VMWare naredbenog retka
U prošlosti je također otkriveno da su akteri LockBit 3.0 iskorištavali izvršnu datoteku VMWare naredbenog retka, poznatu kao VMwareXferlogs.exe, za implementaciju Cobalt Strike beacona. U ovoj tehnici bočnog učitavanja DLL-a, napadač je iskoristio ranjivost Log4Shell i prevario uslužni program VMWare da učita zlonamjerni DLL umjesto originalnog, bezopasnog DLL-a.
Također nije poznato zašto je zlonamjerna strana počela iskorištavati Windows Defender umjesto VMWare u vrijeme pisanja.
SentinelOne izvještava da su VMWare i Windows Defender visokorizični
U Post na blogu SentinelOne o napadima LockBit 3.0, navedeno je da "VMware i Windows Defender imaju visoku prevalenciju u poduzeća i velika korisnost akterima prijetnji ako im je dopušteno raditi izvan instalirane zaštite kontrole".
Napadi ove prirode, u kojima se izbjegavaju sigurnosne mjere, postaju sve češći, a VMWare i Windows Defender postali su ključne mete u takvim pothvatima.
LockBit napadi ne pokazuju znakove prestanka
Iako su ovaj novi val napada prepoznale razne tvrtke za kibernetičku sigurnost, one koje žive izvan zemlje tehnike se još uvijek kontinuirano koriste za iskorištavanje uslužnih alata i postavljanje zlonamjernih datoteka za podatke krađa. Nije poznato hoće li se još više uslužnih alata zlorabiti u budućnosti korištenjem LockBit 3.0 ili bilo koje druge iteracije obitelji LockBit RaaS.
