Haitallinen toimija käyttää kiristysohjelmakantaa, joka tunnetaan nimellä LockBit 3.0, hyödyntääkseen Windows Defenderin komentorivityökalua. Cobalt Strike Beacon -hyötykuormat otetaan käyttöön prosessissa.
Windows-käyttäjät ovat vaarassa joutua kiristysohjelmiin
Kyberturvallisuusyritys SentinelOne on ilmoittanut uudesta uhkatekijästä, joka käyttää LockBit 3.0:aa (tunnetaan myös nimellä LockBit Black) lunnasohjelma väärinkäyttää MpCmdRun.exe-tiedostoa, komentoriviohjelmaa, joka on olennainen osa Windowsin suojausta järjestelmä. MpCmdRun.exe voi etsiä haittaohjelmia, joten ei ole yllätys, että se on tämän hyökkäyksen kohteena.
LockBit 3.0 on uusi haittaohjelmien iteraatio, joka on osa tunnettua LockBit ransomware-as-a-service (RaaS) perhe, joka tarjoaa lunnasohjelmatyökaluja maksaville asiakkaille.
LockBit 3.0:aa käytetään hyväksikäytön jälkeisten Cobalt Strike -hyötykuormien käyttöönottoon, mikä voi johtaa datavarkauksiin. Cobalt Strike voi myös ohittaa tietoturvaohjelmiston havaitsemisen, mikä helpottaa haitallisen toimijan pääsyä ja salaamista uhrin laitteessa oleviin arkaluontoisiin tietoihin.
Tässä sivulataustekniikassa Windows Defender -apuohjelma huijataan myös priorisoimaan ja lataamaan haitallinen DLL (dynaaminen linkkikirjasto), joka voi sitten purkaa Cobalt Strike -hyötykuorman salauksen .log-tiedoston kautta.
LockBitiä on jo käytetty VMWaren komentorivin väärinkäyttöön
Aiemmin LockBit 3.0 -toimijoiden havaittiin myös käyttäneen VMWaren komentorivin suoritettavaa tiedostoa, joka tunnetaan nimellä VMwareXferlogs.exe, ottaakseen käyttöön Cobalt Strike -majakoita. Tässä DLL-sivulataustekniikassa hyökkääjä käytti hyväkseen Log4Shell-haavoittuvuutta ja huijasi VMWare-apuohjelman lataamaan haitallisen DLL: n alkuperäisen, vaarattoman DLL: n sijaan.
Ei myöskään tiedetä, miksi pahantahtoinen osapuoli on alkanut hyödyntää Windows Defenderiä VMWaren sijaan tätä kirjoitettaessa.
SentinelOne raportoi, että VMWare ja Windows Defender ovat riskialttiita
Sisään SentinelOnen blogikirjoitus LockBit 3.0 -hyökkäyksissä todettiin, että "VMwarella ja Windows Defenderillä on suuri esiintyvyys yritys ja suuri hyöty uhkatoimijoille, jos heidän sallitaan toimia asennetun suojauksen ulkopuolella säätimet".
Tämän tyyppiset hyökkäykset, joissa turvatoimia vältetään, ovat yleistymässä, ja VMWaresta ja Windows Defenderistä on tehty keskeisiä kohteita tällaisissa hankkeissa.
LockBit-hyökkäykset eivät näytä pysähtymisen merkkejä
Vaikka useat kyberturvayritykset ovat tunnistaneet tämän uuden hyökkäysaallon, ulkomailla elävät tekniikoita käytetään edelleen jatkuvasti aputyökalujen hyödyntämiseen ja haitallisten tiedostojen käyttöönottamiseksi dataa varten varkaus. Ei ole tiedossa, käytetäänkö tulevaisuudessa vielä useampia apuvälineitä väärin käyttämällä LockBit 3.0:aa tai jotain muuta LockBit RaaS -perheen iteraatiota.
