Программа-вымогатель LockBit использует Защитник Windows для загрузки Cobalt Strike

Тип программы-вымогателя, известный как «LockBit 3.0», используется для развертывания полезных нагрузок Cobalt Strike с помощью инструмента командной строки Защитника Windows.

Злоумышленник использует разновидность программы-вымогателя, известную как LockBit 3.0, для использования инструмента командной строки Защитника Windows. В процессе разворачиваются полезные нагрузки Cobalt Strike Beacon.

Пользователи Windows подвержены риску атак программ-вымогателей

Фирма по кибербезопасности SentinelOne сообщила о новом злоумышленнике, который использует программу-вымогатель LockBit 3.0 (также известную как LockBit Black) для злоупотребления файлом MpCmdRun.exe, утилитой командной строки, которая является неотъемлемой частью системы безопасности Windows. MpCmdRun.exe может сканировать на наличие вредоносного ПО, поэтому неудивительно, что он стал целью этой атаки.

LockBit 3.0 — это новая итерация вредоносного ПО, входящая в состав известного семейства программ-вымогателей LockBit как услуги (RaaS), которое предлагает платным клиентам инструменты программ-вымогателей.

LockBit 3.0 используется для развертывания полезной нагрузки Cobalt Strike после эксплуатации, что может привести к краже данных. Cobalt Strike также может обходить обнаружение программного обеспечения безопасности, облегчая злоумышленнику доступ и шифрование конфиденциальной информации на устройстве жертвы.

В этом методе боковой загрузки утилиту Защитника Windows также обманом заставляют расставлять приоритеты и загружать вредоносную DLL (библиотеку динамической компоновки), которая затем может расшифровать полезную нагрузку Cobalt Strike через файл .log.

LockBit уже использовался для злоупотребления командной строкой VMWare

В прошлом также было обнаружено, что субъекты LockBit 3.0 использовали исполняемый файл командной строки VMWare, известный как VMwareXferlogs.exe, для развертывания маяков Cobalt Strike. В этом методе боковой загрузки DLL злоумышленник воспользовался уязвимостью Log4Shell и обманом заставил утилиту VMWare загрузить вредоносную DLL вместо исходной, безвредной DLL.

Также неизвестно, почему злоумышленник начал использовать Защитник Windows вместо VMWare на момент написания статьи.

SentinelOne сообщает, что VMWare и Защитник Windows относятся к группе высокого риска

В сообщении блога SentinelOne об атаках LockBit 3.0 было указано, что «VMware и Защитник Windows широко распространены на предприятии и очень полезны для злоумышленников, если им разрешено работать за пределами установленных средств контроля безопасности».

Атаки такого рода, при которых обходятся меры безопасности, становятся все более распространенными, при этом VMWare и Защитник Windows становятся ключевыми целями в таких предприятиях.

Атаки на LockBit не собираются прекращаться

Хотя эта новая волна атак была обнаружена различными компаниями, занимающимися кибербезопасностью, методы «живения за пределами земли» по-прежнему постоянно используются для использования служебных инструментов и развертывания вредоносных файлов для кражи данных. Неизвестно, будет ли в будущем использоваться еще больше служебных инструментов с использованием LockBit 3.0 или любой другой версии семейства LockBit RaaS.