LockBit Ransomware nutzt Windows Defender aus, um Cobalt Strike zu laden

Eine Art von Ransomware namens „LockBit 3.0″ wird verwendet, um Cobalt Strike-Payloads über das Windows Defender-Befehlszeilentool bereitzustellen.

Ein böswilliger Akteur verwendet eine Ransomware namens LockBit 3.0, um das Windows Defender-Befehlszeilentool auszunutzen. Dabei werden Cobalt Strike Beacon-Nutzlasten eingesetzt.

Windows-Benutzer sind durch Ransomware-Angriffe gefährdet

Das Cybersicherheitsunternehmen SentinelOne hat einen neuen Bedrohungsakteur gemeldet, der die Ransomware LockBit 3.0 (auch bekannt als LockBit Black) verwendet, um die Datei MpCmdRun.exe zu missbrauchen, ein Befehlszeilendienstprogramm, das einen integralen Bestandteil des Windows-Sicherheitssystems bildet. MpCmdRun.exe kann nach Malware scannen, daher ist es nicht verwunderlich, dass sie Ziel dieses Angriffs ist.

LockBit 3.0 ist eine neue Malware-Iteration, die Teil der bekannten LockBit Ransomware-as-a-Service (RaaS) -Familie ist, die zahlenden Kunden Ransomware-Tools anbietet.

LockBit 3.0 wird verwendet, um Cobalt Strike-Nutzlasten nach der Ausbeutung einzusetzen, was zu Datendiebstahl führen kann. Cobalt Strike kann auch die Erkennung von Sicherheitssoftware umgehen, was es dem böswilligen Akteur erleichtert, auf vertrauliche Informationen auf dem Gerät eines Opfers zuzugreifen und diese zu verschlüsseln.

Bei dieser Side-Loading-Technik wird das Dienstprogramm Windows Defender auch dazu verleitet, eine bösartige DLL (Dynamic Link Library) zu priorisieren und zu laden, die dann die Cobalt Strike-Nutzdaten über eine .log-Datei entschlüsseln kann.

LockBit wurde bereits verwendet, um die VMWare-Befehlszeile zu missbrauchen

In der Vergangenheit wurde auch festgestellt, dass LockBit 3.0-Akteure eine ausführbare VMWare-Befehlszeilendatei namens VMwareXferlogs.exe ausgenutzt haben, um Cobalt Strike-Beacons bereitzustellen. Bei dieser DLL-Seitenladetechnik nutzte der Angreifer die Log4Shell-Schwachstelle aus und brachte das VMWare-Dienstprogramm dazu, eine bösartige DLL anstelle der ursprünglichen, harmlosen DLL zu laden.

Es ist auch nicht bekannt, warum die böswillige Partei zum Zeitpunkt des Schreibens begonnen hat, Windows Defender anstelle von VMWare auszunutzen.

SentinelOne meldet, dass VMWare und Windows Defender ein hohes Risiko darstellen

Im Blogbeitrag von SentinelOne zu den LockBit 3.0-Angriffen wurde festgestellt, dass „VMware und Windows Defender eine hohe Verbreitung in Unternehmen und einen hohen Nutzen für Bedrohungsakteure haben, wenn ihnen erlaubt wird, außerhalb der installierten Sicherheitskontrollen zu operieren”.

Angriffe dieser Art, bei denen Sicherheitsmaßnahmen umgangen werden, werden immer häufiger, wobei VMWare und Windows Defender zu wichtigen Zielen bei solchen Unternehmungen gemacht wurden.

LockBit-Angriffe zeigen keine Anzeichen für ein Ende

Obwohl diese neue Welle von Angriffen von verschiedenen Cybersicherheitsunternehmen erkannt wurde, werden immer noch Techniken verwendet, die vom Land leben, um Dienstprogramme auszunutzen und bösartige Dateien für den Datendiebstahl bereitzustellen. Es ist nicht bekannt, ob in Zukunft noch mehr Utility-Tools mit LockBit 3.0 oder einer anderen Iteration der LockBit RaaS-Familie missbraucht werden.