LockBit Ransomware utnytter Windows Defender for å laste Cobalt Strike
En type løsepengevare kjent som "LockBit 3.0" brukes til å distribuere Cobalt Strike-nyttelaster via Windows Defender-kommandolinjeverktøyet.
En ondsinnet aktør bruker en ransomware-stamme kjent som LockBit 3.0 for å utnytte kommandolinjeverktøyet Windows Defender. Cobalt Strike Beacon-nyttelaster blir distribuert i prosessen.
Windows-brukere står i fare for ransomware-angrep
Cybersikkerhetsfirmaet SentinelOne har rapportert om en ny trusselaktør som bruker LockBit 3.0 (også kjent som LockBit Black) løsepengeprogramvare for å misbruke MpCmdRun.exe-filen, et kommandolinjeverktøy som utgjør en integrert del av Windows-sikkerhetssystemet. MpCmdRun.exe kan skanne etter skadelig programvare, så det er ingen overraskelse at den blir målrettet i dette angrepet.
LockBit 3.0 er en ny malware-iterasjon som inngår i den velkjente LockBit ransomware-as-a-service (RaaS) -familien, som tilbyr løsepengeverktøy til betalende kunder.
LockBit 3.0 brukes til å distribuere Cobalt Strike-nyttelast etter utnyttelse, noe som kan føre til datatyveri. Cobalt Strike kan også omgå deteksjon av sikkerhetsprogramvare, noe som gjør det enklere for den ondsinnede aktøren å få tilgang til og kryptere sensitiv informasjon på et offers enhet.
I denne sidelastingsteknikken blir også Windows Defender-verktøyet lurt til å prioritere og laste inn en ondsinnet DLL (dynamic-link library), som deretter kan dekryptere Cobalt Strike-nyttelasten via en .log-fil.
LockBit har allerede blitt brukt til å misbruke VMWare-kommandolinjen
Tidligere ble det også funnet at LockBit 3.0-aktører hadde utnyttet en kjørbar VMWare-kommandolinjefil, kjent som VMwareXferlogs.exe, for å distribuere Cobalt Strike-beacons. I denne DLL-sideinnlastingsteknikken utnyttet angriperen Log4Shell-sårbarheten og lurte VMWare-verktøyet til å laste en ondsinnet DLL i stedet for den originale, harmløse DLL-filen.
Det er heller ikke kjent hvorfor den ondsinnede parten har begynt å utnytte Windows Defender i stedet for VMWare i skrivende stund.
SentinelOne rapporterer at VMWare og Windows Defender er høyrisiko
I SentinelOnes blogginnlegg om LockBit 3.0-angrepene ble det uttalt at "VMware og Windows Defender har en høy utbredelse i bedriften og en høy nytteverdi for trusselaktører hvis de får lov til å operere utenfor de installerte sikkerhetskontrollene".
Angrep av denne art, der sikkerhetstiltak unngås, blir stadig mer vanlig, med VMWare og Windows Defender som har blitt gjort til nøkkelmål i slike satsinger.
LockBit-angrep viser ingen tegn til å stoppe
Selv om denne nye bølgen av angrep har blitt anerkjent av forskjellige cybersikkerhetsselskaper, blir teknikker som lever utenfor landet fortsatt brukt til å utnytte verktøy og distribuere ondsinnede filer for datatyveri. Det er ikke kjent om enda flere verktøy vil bli misbrukt i fremtiden ved å bruke LockBit 3.0, eller noen annen iterasjon av LockBit RaaS-familien.