{"id":277751,"date":"2023-10-21T10:25:00","date_gmt":"2023-10-21T07:25:00","guid":{"rendered":"https:\/\/howto.mediadoma.com\/?p=277751"},"modified":"2025-03-14T09:40:24","modified_gmt":"2025-03-14T06:40:24","slug":"lockbit-ransomware-utnyttjar-windows-defender-for-att-ladda-cobalt-strike","status":"publish","type":"post","link":"https:\/\/howto.mediadoma.com\/sv\/lockbit-ransomware-utnyttjar-windows-defender-for-att-ladda-cobalt-strike\/","title":{"rendered":"LockBit Ransomware utnyttjar Windows Defender f\u00f6r att ladda Cobalt Strike"},"content":{"rendered":"\n

En typ av ransomware k\u00e4nd som "LockBit 3.0" anv\u00e4nds f\u00f6r att distribuera Cobalt Strike-nyttolaster via kommandoradsverktyget Windows Defender.<\/p>\n

En illvillig akt\u00f6r anv\u00e4nder en stam av ransomware som kallas LockBit 3.0 f\u00f6r att utnyttja kommandoradsverktyget Windows Defender. Cobalt Strike Beacon nyttolaster distribueras i processen.<\/p>\n

Windows-anv\u00e4ndare l\u00f6per risk f\u00f6r attacker med ransomware<\/h2>\n

Cybers\u00e4kerhetsf\u00f6retaget SentinelOne har rapporterat en ny hotakt\u00f6r som anv\u00e4nder LockBit 3.0 (\u00e4ven k\u00e4nd som LockBit Black) ransomware f\u00f6r att missbruka filen MpCmdRun.exe, ett kommandoradsverktyg som utg\u00f6r en integrerad del av Windows s\u00e4kerhetssystem. MpCmdRun.exe kan s\u00f6ka efter skadlig programvara, s\u00e5 det \u00e4r ingen \u00f6verraskning att den \u00e4r inriktad p\u00e5 den h\u00e4r attacken.<\/p>\n

LockBit 3.0 \u00e4r en ny skadlig iteration som ing\u00e5r i den v\u00e4lk\u00e4nda LockBit ransomware-as-a-service (RaaS)-familjen<\/a>, som erbjuder ransomware-verktyg till betalande kunder.<\/p>\n

LockBit 3.0 anv\u00e4nds f\u00f6r att distribuera Cobalt Strike-nyttolaster efter exploateringen, vilket kan leda till datast\u00f6ld. Cobalt Strike kan ocks\u00e5 kringg\u00e5 uppt\u00e4ckt av s\u00e4kerhetsprogramvara, vilket g\u00f6r det l\u00e4ttare f\u00f6r den illvilliga akt\u00f6ren att komma \u00e5t och kryptera k\u00e4nslig information p\u00e5 ett offers enhet.<\/p>\n

I denna sidladdningsteknik luras \u00e4ven Windows Defender-verktyget att prioritera och ladda en skadlig DLL (dynamic-link library)<\/a>, som sedan kan dekryptera Cobalt Strike-nyttolasten via en .log-fil.<\/p>\n

LockBit har redan anv\u00e4nts f\u00f6r att missbruka VMWare-kommandoraden<\/h2>\n

Tidigare visade sig LockBit 3.0-akt\u00f6rer ocks\u00e5 ha utnyttjat en k\u00f6rbar VMWare-kommandoradsfil, k\u00e4nd som VMwareXferlogs.exe, f\u00f6r att distribuera Cobalt Strike-beacons. I denna teknik f\u00f6r sidladdning av DLL, utnyttjade angriparen Log4Shell-s\u00e5rbarheten och lurade VMWare-verktyget att ladda en skadlig DLL ist\u00e4llet f\u00f6r den ursprungliga, ofarliga DLL:n.<\/p>\n

\"LockBit<\/a><\/p>\n

Det \u00e4r inte heller k\u00e4nt varf\u00f6r den skadliga parten har b\u00f6rjat utnyttja Windows Defender ist\u00e4llet f\u00f6r VMWare i skrivande stund.<\/p>\n

SentinelOne rapporterar att VMWare och Windows Defender \u00e4r h\u00f6grisk<\/h2>\n

I SentinelOnes blogginl\u00e4gg<\/a> om LockBit 3.0-attackerna stod det att "VMware och Windows Defender har en h\u00f6g f\u00f6rekomst i f\u00f6retaget och en h\u00f6g nytta f\u00f6r att hota akt\u00f6rer om de till\u00e5ts arbeta utanf\u00f6r de installerade s\u00e4kerhetskontrollerna".<\/p>\n

Attacker av denna karakt\u00e4r, d\u00e4r s\u00e4kerhets\u00e5tg\u00e4rder kringg\u00e5s, blir allt vanligare, med VMWare och Windows Defender som har gjorts till nyckelm\u00e5l i s\u00e5dana satsningar.<\/p>\n

LockBit-attacker visar inga tecken p\u00e5 att stoppa<\/h2>\n

\u00c4ven om den h\u00e4r nya v\u00e5gen av attacker har erk\u00e4nts av olika cybers\u00e4kerhetsf\u00f6retag, anv\u00e4nds fortfarande tekniker som lever utanf\u00f6r landet f\u00f6r att utnyttja verktyg och distribuera skadliga filer f\u00f6r datast\u00f6ld. Det \u00e4r inte k\u00e4nt om \u00e4nnu fler verktyg kommer att missbrukas i framtiden med LockBit 3.0, eller n\u00e5gon annan iteration av LockBit RaaS-familjen.<\/p>\n

Inspelningsk\u00e4lla: www.makeuseof.com<\/a><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

En typ av ransomware k\u00e4nd som ”LockBit 3.0” anv\u00e4nds f\u00f6r att distribuera Cobalt Strike-nyttolaster via kommandoradsverktyget Windows Defender.<\/p>\n","protected":false},"author":1,"featured_media":164019,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[1007],"tags":[3063],"class_list":["post-277751","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sakerhet","tag-affiai-sv"],"_links":{"self":[{"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/posts\/277751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/comments?post=277751"}],"version-history":[{"count":1,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/posts\/277751\/revisions"}],"predecessor-version":[{"id":306629,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/posts\/277751\/revisions\/306629"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/media\/164019"}],"wp:attachment":[{"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/media?parent=277751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/categories?post=277751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/howto.mediadoma.com\/sv\/wp-json\/wp\/v2\/tags?post=277751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}