En ondsindet aktør bruger en stamme af ransomware kendt som LockBit 3.0 til at udnytte Windows Defender-kommandolinjeværktøjet. Cobalt Strike Beacon-nyttelaster bliver implementeret i processen.
Windows-brugere er i fare for Ransomware-angreb
Cybersikkerhedsfirmaet SentinelOne har rapporteret en ny trusselsaktør, der bruger LockBit 3.0 (også kendt som LockBit Black) ransomware til at misbruge MpCmdRun.exe-filen, et kommandolinjeværktøj, der udgør en integreret del af Windows-sikkerheden system. MpCmdRun.exe kan scanne for malware, så det er ingen overraskelse, at det er målrettet i dette angreb.
LockBit 3.0 er en ny malware iteration, der er en del af det velkendte LockBit ransomware-as-a-service (RaaS) familie, som tilbyder ransomware-værktøjer til betalende kunder.
LockBit 3.0 bliver brugt til at implementere Cobalt Strike-nyttelast efter udnyttelse, hvilket kan føre til datatyveri. Cobalt Strike kan også omgå detektion af sikkerhedssoftware, hvilket gør det lettere for den ondsindede aktør at få adgang til og kryptere følsomme oplysninger på et offers enhed.
I denne sideindlæsningsteknik bliver Windows Defender-værktøjet også narret til at prioritere og indlæse en ondsindet DLL (dynamisk linkbibliotek), som derefter kan dekryptere Cobalt Strike-nyttelasten via en .log-fil.
LockBit er allerede blevet brugt til at misbruge VMWare-kommandolinjen
Tidligere blev LockBit 3.0-aktører også fundet at have udnyttet en eksekverbar VMWare-kommandolinjefil, kendt som VMwareXferlogs.exe, til at implementere Cobalt Strike-beacons. I denne DLL-sideindlæsningsteknik udnyttede angriberen Log4Shell-sårbarheden og narrede VMWare-værktøjet til at indlæse en ondsindet DLL i stedet for den originale, harmløse DLL.
Det vides heller ikke, hvorfor den ondsindede part er begyndt at udnytte Windows Defender i stedet for VMWare i skrivende stund.
SentinelOne rapporterer, at VMWare og Windows Defender er højrisiko
I SentinelOnes blogindlæg på LockBit 3.0-angrebene blev det udtalt, at "VMware og Windows Defender har en høj prævalens i virksomhed og en høj nytteværdi for trussel aktører, hvis de får lov til at operere uden for den installerede sikkerhed kontroller".
Angreb af denne art, hvor sikkerhedsforanstaltninger er omgået, bliver mere og mere almindelige, hvor VMWare og Windows Defender er blevet gjort til nøglemål i sådanne ventures.
LockBit-angreb viser ingen tegn på at stoppe
Selvom denne nye bølge af angreb er blevet anerkendt af forskellige cybersikkerhedsvirksomheder, lever-off-the-land teknikker bliver stadig brugt til at udnytte hjælpeværktøjer og installere ondsindede filer til data tyveri. Det vides ikke, om endnu flere hjælpeværktøjer vil blive misbrugt i fremtiden ved at bruge LockBit 3.0 eller nogen anden iteration af LockBit RaaS-familien.
