Програма-вимагач LockBit використовує Windows Defender для завантаження Cobalt Strike

Тип програми-вимагача, відомий як "LockBit 3.0", використовується для розгортання корисних навантажень Cobalt Strike через інструмент командного рядка Windows Defender.

Зловмисник використовує штам програми-вимагача, відомий як LockBit 3.0, щоб використовувати інструмент командного рядка Windows Defender. У процесі розгортаються корисні навантаження Cobalt Strike Beacon.

Користувачі Windows знаходяться під загрозою атак програм-вимагачів

Фірма кібербезпеки SentinelOne повідомила про нову загрозу, яка використовує програму-вимагач LockBit 3.0 (також відому як LockBit Black) для зловживання файлом MpCmdRun.exe, утилітою командного рядка, яка є невід’ємною частиною системи безпеки Windows. MpCmdRun.exe може сканувати на наявність зловмисного програмного забезпечення, тому не дивно, що ця атака спрямована на нього.

LockBit 3.0 — це нова ітерація зловмисного програмного забезпечення, яке є частиною добре відомого сімейства програм-вимагачів як послуг (RaaS) LockBit, що пропонує платним клієнтам інструменти програм-вимагачів.

LockBit 3.0 використовується для розгортання корисних навантажень Cobalt Strike після експлуатації, що може призвести до крадіжки даних. Cobalt Strike також може обійти виявлення програмного забезпечення безпеки, спрощуючи зловмисникам доступ і шифрування конфіденційної інформації на пристрої жертви.

У цій техніці бокового завантаження утиліту Windows Defender також обманом намагаються встановити пріоритет і завантажити шкідливу DLL (бібліотеку динамічного компонування), яка потім може розшифрувати корисне навантаження Cobalt Strike за допомогою файлу .log.

LockBit вже використовувався для зловживання командним рядком VMWare

У минулому також було виявлено, що суб’єкти LockBit 3.0 використовували виконуваний файл командного рядка VMWare, відомий як VMwareXferlogs.exe, для розгортання маяків Cobalt Strike. У цій техніці бокового завантаження DLL зловмисник скористався вразливістю Log4Shell і обманом змусив утиліту VMWare завантажити шкідливу DLL замість оригінальної, нешкідливої ​​DLL.

Також невідомо, чому на момент написання статті зловмисник почав використовувати Windows Defender замість VMWare.

SentinelOne повідомляє, що VMWare та Windows Defender є високими ризиками

У дописі в блозі SentinelOne про атаки LockBit 3.0 було зазначено, що «VMware і Windows Defender мають високу поширеність на підприємстві та високу корисність для зловмисників, якщо їм дозволено працювати поза встановленими засобами безпеки».

Атаки такого характеру, під час яких ухиляються від заходів безпеки, стають все більш поширеними, а VMWare та Windows Defender стають ключовими цілями в таких авантюрах.

Атаки LockBit не мають ознак припинення

Незважаючи на те, що ця нова хвиля атак була визнана різними компаніями з кібербезпеки, методи життя поза межами країни все ще постійно використовуються для використання службових інструментів і розгортання шкідливих файлів для крадіжки даних. Невідомо, чи буде зловживати ще більше службових інструментів у майбутньому за допомогою LockBit 3.0 або будь-якої іншої версії сімейства LockBit RaaS.