{"id":278096,"date":"2023-10-21T10:27:00","date_gmt":"2023-10-21T07:27:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=278096"},"modified":"2025-03-14T14:20:10","modified_gmt":"2025-03-14T11:20:10","slug":"lockbit-ransomware-utnytter-windows-defender-for-a-laste-cobalt-strike","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/no\/lockbit-ransomware-utnytter-windows-defender-for-a-laste-cobalt-strike\/","title":{"rendered":"LockBit Ransomware utnytter Windows Defender for \u00e5 laste Cobalt Strike"},"content":{"rendered":"\n

En type l\u00f8sepengevare kjent som "LockBit 3.0" brukes til \u00e5 distribuere Cobalt Strike-nyttelaster via Windows Defender-kommandolinjeverkt\u00f8yet.<\/p>\n

En ondsinnet akt\u00f8r bruker en ransomware-stamme kjent som LockBit 3.0 for \u00e5 utnytte kommandolinjeverkt\u00f8yet Windows Defender. Cobalt Strike Beacon-nyttelaster blir distribuert i prosessen.<\/p>\n

Windows-brukere st\u00e5r i fare for ransomware-angrep<\/h2>\n

Cybersikkerhetsfirmaet SentinelOne har rapportert om en ny trusselakt\u00f8r som bruker LockBit 3.0 (ogs\u00e5 kjent som LockBit Black) l\u00f8sepengeprogramvare for \u00e5 misbruke MpCmdRun.exe-filen, et kommandolinjeverkt\u00f8y som utgj\u00f8r en integrert del av Windows-sikkerhetssystemet. MpCmdRun.exe kan skanne etter skadelig programvare, s\u00e5 det er ingen overraskelse at den blir m\u00e5lrettet i dette angrepet.<\/p>\n

LockBit 3.0 er en ny malware-iterasjon som inng\u00e5r i den velkjente LockBit ransomware-as-a-service (RaaS)<\/a> -familien, som tilbyr l\u00f8sepengeverkt\u00f8y til betalende kunder.<\/p>\n

LockBit 3.0 brukes til \u00e5 distribuere Cobalt Strike-nyttelast etter utnyttelse, noe som kan f\u00f8re til datatyveri. Cobalt Strike kan ogs\u00e5 omg\u00e5 deteksjon av sikkerhetsprogramvare, noe som gj\u00f8r det enklere for den ondsinnede akt\u00f8ren \u00e5 f\u00e5 tilgang til og kryptere sensitiv informasjon p\u00e5 et offers enhet.<\/p>\n

I denne sidelastingsteknikken blir ogs\u00e5 Windows Defender-verkt\u00f8yet lurt til \u00e5 prioritere og laste inn en ondsinnet DLL (dynamic-link library)<\/a>, som deretter kan dekryptere Cobalt Strike-nyttelasten via en .log-fil.<\/p>\n

LockBit har allerede blitt brukt til \u00e5 misbruke VMWare-kommandolinjen<\/h2>\n

Tidligere ble det ogs\u00e5 funnet at LockBit 3.0-akt\u00f8rer hadde utnyttet en kj\u00f8rbar VMWare-kommandolinjefil, kjent som VMwareXferlogs.exe, for \u00e5 distribuere Cobalt Strike-beacons. I denne DLL-sideinnlastingsteknikken utnyttet angriperen Log4Shell-s\u00e5rbarheten og lurte VMWare-verkt\u00f8yet til \u00e5 laste en ondsinnet DLL i stedet for den originale, harml\u00f8se DLL-filen.<\/p>\n

\"LockBit<\/a><\/p>\n

Det er heller ikke kjent hvorfor den ondsinnede parten har begynt \u00e5 utnytte Windows Defender i stedet for VMWare i skrivende stund.<\/p>\n

SentinelOne rapporterer at VMWare og Windows Defender er h\u00f8yrisiko<\/h2>\n

I SentinelOnes blogginnlegg<\/a> om LockBit 3.0-angrepene ble det uttalt at "VMware og Windows Defender har en h\u00f8y utbredelse i bedriften og en h\u00f8y nytteverdi for trusselakt\u00f8rer hvis de f\u00e5r lov til \u00e5 operere utenfor de installerte sikkerhetskontrollene".<\/p>\n

Angrep av denne art, der sikkerhetstiltak unng\u00e5s, blir stadig mer vanlig, med VMWare og Windows Defender som har blitt gjort til n\u00f8kkelm\u00e5l i slike satsinger.<\/p>\n

LockBit-angrep viser ingen tegn til \u00e5 stoppe<\/h2>\n

Selv om denne nye b\u00f8lgen av angrep har blitt anerkjent av forskjellige cybersikkerhetsselskaper, blir teknikker som lever utenfor landet fortsatt brukt til \u00e5 utnytte verkt\u00f8y og distribuere ondsinnede filer for datatyveri. Det er ikke kjent om enda flere verkt\u00f8y vil bli misbrukt i fremtiden ved \u00e5 bruke LockBit 3.0, eller noen annen iterasjon av LockBit RaaS-familien.<\/p>\n

Opptakskilde: www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

En type l\u00f8sepengevare kjent som «LockBit 3.0» brukes til \u00e5 distribuere Cobalt Strike-nyttelaster via Windows Defender-kommandolinjeverkt\u00f8yet.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[1166],"tags":[3060],"class_list":["post-278096","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sikkerhet","tag-affiai-no"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/posts\/278096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/comments?post=278096"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/posts\/278096\/revisions"}],"predecessor-version":[{"id":309154,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/posts\/278096\/revisions\/309154"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/media?parent=278096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/categories?post=278096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/no\/wp-json\/wp\/v2\/tags?post=278096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}