Kenkėjiškas veikėjas naudoja išpirkos reikalaujančią programinę įrangą, žinomą kaip „LockBit 3.0“, kad išnaudotų „Windows Defender“ komandų eilutės įrankį. Šiame procese dislokuojami „Cobalt Strike Beacon“ naudingieji kroviniai.
„Windows“ naudotojams gresia „Ransomware“ atakos
Kibernetinio saugumo įmonė „SentinelOne“ pranešė apie naują grėsmės veikėją, kuris naudoja „LockBit 3.0“ (taip pat žinomas kaip „LockBit Black“). ransomware, kad piktnaudžiautų MpCmdRun.exe failu – komandų eilutės programa, kuri yra neatskiriama „Windows“ saugos dalis. sistema. MpCmdRun.exe gali nuskaityti, ar nėra kenkėjiškų programų, todėl nenuostabu, kad ši ataka yra nukreipta į ją.
„LockBit 3.0“ yra nauja kenkėjiškų programų iteracija, kuri yra gerai žinomo „LockBit“ dalis. ransomware-as-a-service (RaaS) šeima, kuri mokantiems klientams siūlo išpirkos reikalaujančius įrankius.
„LockBit 3.0“ naudojama po eksploatavimo „Cobalt Strike“ naudingosioms apkrovoms diegti, o tai gali sukelti duomenų vagystę. „Cobalt Strike“ taip pat gali apeiti saugos programinės įrangos aptikimą, todėl kenkėjiškam veikėjui lengviau pasiekti ir užšifruoti aukos įrenginyje esančią neskelbtiną informaciją.
Taikant šią šoninio įkėlimo techniką, „Windows Defender“ programa taip pat apgaudinėjama, kad ji nustatytų prioritetus ir įkeltų kenkėjišką DLL (dinaminių saitų biblioteka), kuris gali iššifruoti „Cobalt Strike“ naudingąjį krovinį naudodamas .log failą.
„LockBit“ jau buvo naudojamas piktnaudžiauti „VMWare“ komandų eilute
Anksčiau buvo nustatyta, kad „LockBit 3.0“ aktoriai naudojo VMWare komandų eilutės vykdomąjį failą, žinomą kaip VMwareXferlogs.exe, norėdami įdiegti „Cobalt Strike“ švyturius. Naudodamas šią DLL šoninio įkėlimo techniką, užpuolikas išnaudojo Log4Shell pažeidžiamumą ir apgaule apgavo VMWare programą, kad įkeltų kenkėjišką DLL, o ne originalų, nekenksmingą DLL.
Taip pat nežinoma, kodėl kenkėjiška šalis pradėjo eksploatuoti Windows Defender, o ne VMWare.
„SentinelOne“ praneša, kad „VMWare“ ir „Windows Defender“ yra didelės rizikos
Į SentinelOne tinklaraščio įrašas apie LockBit 3.0 atakas buvo teigiama, kad „VMware ir Windows Defender yra plačiai paplitę įmonė ir didelės naudos grėsmės veikėjams, jei jiems leidžiama veikti už įdiegtos apsaugos ribų valdikliai“.
Tokio pobūdžio atakos, kurių metu išvengiama saugos priemonių, tampa vis dažnesnės, o VMWare ir Windows Defender tapo pagrindiniais tokių įmonių taikiniais.
„LockBit“ atakos nerodo jokių sustojimo ženklų
Nors šią naują atakų bangą pripažino įvairios kibernetinio saugumo įmonės, gyvenančios ne žemėje technikos vis dar nuolatos naudojamos naudingumo įrankiams išnaudoti ir duomenims įdiegti kenkėjiškus failus vagystė. Nežinoma, ar ateityje bus piktnaudžiaujama dar daugiau naudingų įrankių naudojant „LockBit 3.0“ ar bet kurią kitą „LockBit RaaS“ šeimos iteraciją.
