Egy rosszindulatú szereplő a LockBit 3.0 néven ismert zsarolóvírus-törzset használja a Windows Defender parancssori eszközének kihasználására. A folyamat során a Cobalt Strike Beacon rakományokat telepítik.
A Windows-felhasználókat zsarolóvírus-támadások fenyegetik
A SentinelOne kiberbiztonsági cég bejelentett egy új fenyegetést, aki a LockBit 3.0-t (más néven LockBit Blacket) használja. zsarolóprogram, hogy visszaéljen az MpCmdRun.exe fájllal, egy parancssori segédprogrammal, amely a Windows biztonságának szerves részét képezi rendszer. Az MpCmdRun.exe képes keresni a rosszindulatú programokat, így nem meglepő, hogy ez a támadás célpontja.
A LockBit 3.0 egy új malware iteráció, amely a jól ismert LockBit részét képezi ransomware-as-a-service (RaaS) család, amely ransomware eszközöket kínál a fizető ügyfeleknek.
A LockBit 3.0-t a kizsákmányolás utáni Cobalt Strike rakományok telepítésére használják, ami adatlopáshoz vezethet. A Cobalt Strike a biztonsági szoftverek észlelését is megkerülheti, így a rosszindulatú szereplő könnyebben hozzáférhet az áldozat eszközén lévő érzékeny információkhoz és titkosíthatja azokat.
Ezzel az oldalsó betöltési technikával a Windows Defender segédprogramot is becsapják, hogy rangsorolja és betöltse a rosszindulatú DLL (dinamikus hivatkozású könyvtár), amely ezután egy .log fájlon keresztül képes visszafejteni a Cobalt Strike hasznos adatát.
A LockBit-et már használták a VMWare parancssor visszaélésére
Korábban a LockBit 3.0 szereplőiről is kiderült, hogy kihasználtak egy VMWare parancssori végrehajtható fájlt, a VMwareXferlogs.exe néven ismert Cobalt Strike jeladókat. Ebben a DLL oldalbetöltési technikában a támadó kihasználta a Log4Shell sebezhetőségét, és rávette a VMWare segédprogramot, hogy az eredeti, ártalmatlan DLL helyett egy rosszindulatú DLL-t töltsön be.
Azt sem tudni, hogy a rosszindulatú fél miért kezdte el kihasználni a Windows Defendert a VMWare helyett a cikk írásakor.
A SentinelOne jelentése szerint a VMWare és a Windows Defender magas kockázatú
Ban ben SentinelOne blogbejegyzése a LockBit 3.0 támadásokkal kapcsolatban kijelentették, hogy "A VMware és a Windows Defender nagy elterjedtséggel rendelkezik a nagyfokú hasznosság a fenyegető szereplők számára, ha engedélyezik számukra a telepített biztonságon kívüli működést vezérlők".
Egyre gyakoribbak az ilyen jellegű támadások, amelyek során a biztonsági intézkedéseket elkerülik, és a VMWare és a Windows Defender kulcsfontosságú célponttá vált az ilyen vállalkozásokban.
A LockBit támadások nem mutatják a leállás jeleit
Bár ezt az új támadási hullámot különböző kiberbiztonsági cégek felismerték, a földön kívül élők A technikákat továbbra is folyamatosan használják a segédeszközök kihasználására és rosszindulatú fájlok telepítésére az adatokhoz lopás. Nem tudni, hogy a jövőben még több segédeszközzel visszaélnek-e a LockBit 3.0 vagy a LockBit RaaS család bármely más iterációja révén.
