En illvillig aktör använder en stam av ransomware som kallas LockBit 3.0 för att utnyttja kommandoradsverktyget Windows Defender. Cobalt Strike Beacon nyttolaster distribueras i processen.
Windows-användare löper risk för attacker med ransomware
Cybersäkerhetsföretaget SentinelOne har rapporterat en ny hotaktör som använder LockBit 3.0 (även känd som LockBit Black) ransomware för att missbruka filen MpCmdRun.exe, ett kommandoradsverktyg som utgör en integrerad del av Windows Security systemet. MpCmdRun.exe kan söka efter skadlig programvara, så det är ingen överraskning att den är inriktad på den här attacken.
LockBit 3.0 är en ny skadlig iteration som är en del av den välkända LockBit ransomware-as-a-service (RaaS) familj, som erbjuder ransomware-verktyg till betalande kunder.
LockBit 3.0 används för att distribuera Cobalt Strike-nyttolaster efter exploateringen, vilket kan leda till datastöld. Cobalt Strike kan också kringgå upptäckt av säkerhetsprogramvara, vilket gör det lättare för den illvilliga aktören att komma åt och kryptera känslig information på ett offers enhet.
I denna sidoladdningsteknik luras också Windows Defender-verktyget att prioritera och ladda en skadlig DLL (dynamiskt länkbibliotek), som sedan kan dekryptera Cobalt Strike-nyttolasten via en .log-fil.
LockBit har redan använts för att missbruka VMWare-kommandoraden
Tidigare befanns LockBit 3.0-aktörer också ha utnyttjat en körbar VMWare-kommandoradsfil, känd som VMwareXferlogs.exe, för att distribuera Cobalt Strike-beacons. I den här tekniken för sidladdning av DLL, utnyttjade angriparen Log4Shell-sårbarheten och lurade VMWare-verktyget att ladda en skadlig DLL istället för den ursprungliga, ofarliga DLL: n.
Det är inte heller känt varför den skadliga parten har börjat utnyttja Windows Defender istället för VMWare i skrivande stund.
SentinelOne rapporterar att VMWare och Windows Defender är högrisk
I SentinelOnes blogginlägg på LockBit 3.0-attackerna, sades det att "VMware och Windows Defender har en hög prevalens i företag och en hög nytta för att hota aktörer om de tillåts verka utanför den installerade säkerheten kontroller".
Attacker av den här karaktären, där säkerhetsåtgärder kringgås, blir allt vanligare, med VMWare och Windows Defender har gjorts till nyckelmål i sådana satsningar.
LockBit-attacker visar inga tecken på att stoppa
Även om denna nya våg av attacker har erkänts av olika cybersäkerhetsföretag, lever utanför landet tekniker används fortfarande kontinuerligt för att utnyttja verktyg och distribuera skadliga filer för data stöld. Det är inte känt om ännu fler verktyg kommer att missbrukas i framtiden med LockBit 3.0, eller någon annan iteration av LockBit RaaS-familjen.