Zlonamerni akter uporablja vrsto izsiljevalske programske opreme, znano kot LockBit 3.0, da izkoristi orodje ukazne vrstice Windows Defender. V tem procesu se uporabljajo tovori Cobalt Strike Beacon.
Uporabniki sistema Windows so v nevarnosti napadov izsiljevalske programske opreme
Podjetje za kibernetsko varnost SentinelOne je poročalo o novem akterju grožnje, ki uporablja LockBit 3.0 (znan tudi kot LockBit Black) izsiljevalsko programsko opremo za zlorabo datoteke MpCmdRun.exe, pripomočka ukazne vrstice, ki je sestavni del varnostnega programa Windows sistem. MpCmdRun.exe lahko išče zlonamerno programsko opremo, zato ne preseneča, da je tarča tega napada.
LockBit 3.0 je nova različica zlonamerne programske opreme, ki je del dobro znanega LockBita izsiljevalska programska oprema kot storitev (RaaS) družina, ki strankam, ki plačujejo, ponuja orodja za izsiljevalsko programsko opremo.
LockBit 3.0 se uporablja za uvajanje uporabnih obremenitev Cobalt Strike po izkoriščanju, kar lahko vodi do kraje podatkov. Cobalt Strike lahko tudi zaobide zaznavanje varnostne programske opreme, kar zlonamernemu akterju olajša dostop in šifriranje občutljivih informacij v napravi žrtve.
Pri tej tehniki stranskega nalaganja je tudi pripomoček Windows Defender zaveden, da določi prednost in naloži zlonamerno DLL (dinamično povezovalna knjižnica), ki lahko nato dešifrira tovor Cobalt Strike prek datoteke .log.
LockBit je že bil uporabljen za zlorabo ukazne vrstice VMWare
V preteklosti je bilo tudi ugotovljeno, da so akterji LockBit 3.0 izkoristili izvršljivo datoteko ukazne vrstice VMWare, znano kot VMwareXferlogs.exe, za uvajanje svetilnikov Cobalt Strike. Pri tej tehniki stranskega nalaganja DLL je napadalec izkoristil ranljivost Log4Shell in pretental pripomoček VMWare, da je namesto prvotnega, neškodljivega DLL naložil zlonamerno DLL.
Prav tako ni znano, zakaj je zlonamerna stran začela izkoriščati Windows Defender namesto VMWare v času pisanja.
SentinelOne poroča, da sta VMWare in Windows Defender visoko tvegana
notri Objava v blogu SentinelOne o napadih LockBit 3.0 je bilo navedeno, da sta "VMware in Windows Defender zelo razširjena v podjetje in visoko uporabnost za akterje groženj, če jim je dovoljeno delovati zunaj nameščene varnosti kontrole".
Napadi te vrste, pri katerih se izognejo varnostnim ukrepom, postajajo vse pogostejši, pri čemer sta VMWare in Windows Defender glavni tarči v takšnih podvigih.
Napadi LockBit ne kažejo znakov, da bi se ustavili
Čeprav so ta novi val napadov prepoznala različna podjetja za kibernetsko varnost, živijo zunaj zemlje tehnike se še vedno nenehno uporabljajo za izkoriščanje pripomočkov in uvajanje zlonamernih datotek za podatke tatvina. Ni znano, ali bo v prihodnosti z uporabo LockBit 3.0 ali katere koli druge ponovitve družine LockBit RaaS zlorabljenih še več pripomočkov.
