Тип вымогательского ПО, известный как ‘LockBit 3. 0’, используется для развертывания полезной нагрузки Cobalt Strike через инструмент командной строки Windows Defender
Вредоносный агент использует штамм вымогательского ПО, известного как LockBit 3. 0, для эксплуатации инструмента командной строки Windows Defender. При этом развертываются полезные нагрузки Cobalt Strike Beacon
Пользователи Windows подвержены риску атак Ransomware
Компания SentinelOne, специализирующаяся на кибербезопасности, сообщила о новом субъекте угроз, который использует программу LockBit 3. 0 (также известную как LockBit Black) для атаки на файл MpCmdRun.exe, утилиту командной строки, которая является неотъемлемой частью системы безопасности Windows.MpCmdRun.exe может сканировать на наличие вредоносного ПО, поэтому неудивительно, что именно он стал мишенью этой атаки
LockBit 3. 0 – это новая итерация вредоносной программы, которая является частью известного семейства LockBit ransomware-as-a-service (RaaS), предлагающего инструменты для борьбы с вымогательством платным клиентам
LockBit 3. 0 используется для развертывания полезной нагрузки Cobalt Strike после эксплойта, что может привести к краже данных.Cobalt Strike также может обходить обнаружение программ безопасности, облегчая злоумышленнику доступ и шифрование конфиденциальной информации на устройстве жертвы
В этой технике побочной загрузки утилита Windows Defender также обманом заставляется установить приоритет и загрузить вредоносную DLL (библиотеку динамических связей), которая затем может расшифровать полезную нагрузку Cobalt Strike через файл.log
LockBit уже использовался для злоупотребления командной строкой VMWare
В прошлом участники LockBit 3. 0 также использовали исполняемый файл командной строки VMWare, известный как VMwareXferlogs.exe, для установки маячков Cobalt Strike. В этой технике побочной загрузки DLL злоумышленник использовал уязвимость Log4Shell и обманом заставил утилиту VMWare загрузить вредоносную DLL вместо оригинальной, безвредной DLL
На момент написания статьи также неизвестно, почему злоумышленники начали использовать Windows Defender вместо VMWare
SentinelOne сообщает, что VMWare и Windows Defender относятся к группе высокого риска
В блоге компании SentinelOne, посвященном атакам LockBit 3. 0, было сказано, что ‘VMware и Windows Defender имеют высокую распространенность на предприятии и высокую полезность для субъектов угроз, если им позволят действовать вне установленных средств контроля безопасности’
Атаки такого рода, в ходе которых обходятся меры безопасности, становятся все более распространенными, а VMWare и Windows Defender стали ключевыми мишенями в таких предприятиях
Атаки LockBit не имеют признаков прекращения
Несмотря на то, что эта новая волна атак была признана различными компаниями по кибербезопасности, методы ‘живой земли’ по-прежнему постоянно используются для эксплуатации утилит и развертывания вредоносных файлов для кражи данных. Неизвестно, будут ли в будущем злоупотреблять еще большим количеством утилит, используя LockBit 3. 0 или любую другую итерацию семейства LockBit RaaS
Комментировать