Злоумышленник использует разновидность программы-вымогателя, известную как LockBit 3.0, для использования инструмента командной строки Защитника Windows. В процессе разворачиваются полезные нагрузки Cobalt Strike Beacon.
Пользователи Windows подвержены риску атак программ-вымогателей
Фирма по кибербезопасности SentinelOne сообщила о новом злоумышленнике, который использует LockBit 3.0 (также известный как LockBit Black). программа-вымогатель для злоупотребления файлом MpCmdRun.exe, утилитой командной строки, которая является неотъемлемой частью системы безопасности Windows. система. MpCmdRun.exe может сканировать на наличие вредоносного ПО, поэтому неудивительно, что он стал целью этой атаки.
LockBit 3.0 — это новая итерация вредоносного ПО, являющаяся частью хорошо известного LockBit Программа-вымогатель как услуга (RaaS) семья, которая предлагает платным клиентам инструменты для вымогателей.
LockBit 3.0 используется для развертывания полезной нагрузки Cobalt Strike после эксплуатации, что может привести к краже данных. Cobalt Strike также может обходить обнаружение программного обеспечения безопасности, облегчая злоумышленнику доступ и шифрование конфиденциальной информации на устройстве жертвы.
В этом методе боковой загрузки утилита Защитника Windows также обманом расставляет приоритеты и загружает вредоносное ПО. DLL (динамически подключаемая библиотека), который затем может расшифровать полезную нагрузку Cobalt Strike через файл .log.
LockBit уже использовался для злоупотребления командной строкой VMWare
В прошлом также было обнаружено, что субъекты LockBit 3.0 использовали исполняемый файл командной строки VMWare, известный как VMwareXferlogs.exe, для развертывания маяков Cobalt Strike. В этом методе боковой загрузки DLL злоумышленник воспользовался уязвимостью Log4Shell и обманом заставил утилиту VMWare загрузить вредоносную DLL вместо исходной, безвредной DLL.
Также неизвестно, почему злоумышленник начал использовать Защитник Windows вместо VMWare на момент написания статьи.
SentinelOne сообщает, что VMWare и Защитник Windows относятся к группе высокого риска
В Сообщение в блоге SentinelOne об атаках LockBit 3.0 было заявлено, что «VMware и Защитник Windows имеют высокую распространенность в предприятие и высокая полезность для злоумышленников, если им разрешено работать за пределами установленной системы безопасности. контролирует».
Атаки такого рода, при которых обходятся меры безопасности, становятся все более распространенными, при этом VMWare и Защитник Windows становятся ключевыми целями в таких предприятиях.
Атаки на LockBit не собираются прекращаться
Хотя эта новая волна атак была обнаружена различными компаниями, занимающимися кибербезопасностью, методы все еще постоянно используются для использования служебных инструментов и развертывания вредоносных файлов для данных. кража. Неизвестно, будет ли в будущем использоваться еще больше служебных инструментов с использованием LockBit 3.0 или любой другой версии семейства LockBit RaaS.