En ondsinnet aktør bruker en ransomware-stamme kjent som LockBit 3.0 for å utnytte kommandolinjeverktøyet Windows Defender. Cobalt Strike Beacon-nyttelaster blir distribuert i prosessen.
Windows-brukere står i fare for ransomware-angrep
Nettsikkerhetsfirmaet SentinelOne har rapportert om en ny trusselaktør som bruker LockBit 3.0 (også kjent som LockBit Black) løsepengeprogramvare for å misbruke MpCmdRun.exe-filen, et kommandolinjeverktøy som utgjør en integrert del av Windows-sikkerheten system. MpCmdRun.exe kan skanne etter skadelig programvare, så det er ingen overraskelse at den blir målrettet i dette angrepet.
LockBit 3.0 er en ny malware-iterasjon som utgjør en del av det velkjente LockBit løsepengevare-som-en-tjeneste (RaaS) familie, som tilbyr løsepengeverktøy til betalende kunder.
LockBit 3.0 brukes til å distribuere Cobalt Strike-nyttelast etter utnyttelse, noe som kan føre til datatyveri. Cobalt Strike kan også omgå deteksjon av sikkerhetsprogramvare, noe som gjør det enklere for den ondsinnede aktøren å få tilgang til og kryptere sensitiv informasjon på et offers enhet.
I denne sidelastingsteknikken blir Windows Defender-verktøyet også lurt til å prioritere og laste inn en skadelig DLL (dynamisk koblingsbibliotek), som deretter kan dekryptere Cobalt Strike-nyttelasten via en .log-fil.
LockBit har allerede blitt brukt til å misbruke VMWare-kommandolinjen
Tidligere ble det også funnet at LockBit 3.0-aktører hadde utnyttet en kjørbar VMWare-kommandolinjefil, kjent som VMwareXferlogs.exe, for å distribuere Cobalt Strike-beacons. I denne DLL-sideinnlastingsteknikken utnyttet angriperen Log4Shell-sårbarheten og lurte VMWare-verktøyet til å laste en ondsinnet DLL i stedet for den originale, harmløse DLL-filen.
Det er heller ikke kjent hvorfor den ondsinnede parten har begynt å utnytte Windows Defender i stedet for VMWare i skrivende stund.
SentinelOne rapporterer at VMWare og Windows Defender er høyrisiko
I SentinelOnes blogginnlegg på LockBit 3.0-angrepene ble det uttalt at "VMware og Windows Defender har en høy prevalens i bedrift og høy nytte for trusselaktører dersom de får lov til å operere utenfor den installerte sikkerheten kontroller".
Angrep av denne art, der sikkerhetstiltak unngås, blir stadig mer vanlig, med VMWare og Windows Defender som har blitt gjort til nøkkelmål i slike satsinger.
LockBit-angrep viser ingen tegn til å stoppe
Selv om denne nye bølgen av angrep har blitt anerkjent av forskjellige cybersikkerhetsselskaper, lever utenfor landet teknikker brukes fortsatt kontinuerlig for å utnytte verktøy og distribuere ondsinnede filer for data tyveri. Det er ikke kjent om enda flere verktøy vil bli misbrukt i fremtiden ved å bruke LockBit 3.0, eller noen annen iterasjon av LockBit RaaS-familien.
