Een kwaadwillende acteur gebruikt een soort ransomware die bekend staat als LockBit 3.0 om de opdrachtregeltool van Windows Defender te misbruiken. Daarbij worden Cobalt Strike Beacon-ladingen ingezet.

Windows-gebruikers lopen risico op ransomware-aanvallen

Cyberbeveiligingsbedrijf SentinelOne heeft een nieuwe dreigingsactor gemeld die LockBit 3.0 (ook bekend als LockBit Black) gebruikt. ransomware om het bestand MpCmdRun.exe te misbruiken, een opdrachtregelhulpprogramma dat een integraal onderdeel vormt van de Windows-beveiliging systeem. MpCmdRun.exe kan scannen op malware, dus het is geen verrassing dat deze aanval het doelwit is.

LockBit 3.0 is een nieuwe malware-iteratie die deel uitmaakt van het bekende LockBit ransomware-as-a-service (RaaS) familie, die ransomware-tools aanbiedt aan betalende klanten.

LockBit 3.0 wordt gebruikt om Cobalt Strike-payloads na exploitatie in te zetten, wat kan leiden tot gegevensdiefstal. Cobalt Strike kan ook de detectie van beveiligingssoftware omzeilen, waardoor het voor de kwaadwillende actor gemakkelijker wordt om toegang te krijgen tot gevoelige informatie op het apparaat van een slachtoffer en deze te versleutelen.

Bij deze techniek voor side-loading wordt het hulpprogramma Windows Defender ook misleid om prioriteiten te stellen en een kwaadaardig te laden DLL (bibliotheek met dynamische koppelingen), die vervolgens de Cobalt Strike-payload kan decoderen via een .log-bestand.

LockBit is al gebruikt om VMWare-opdrachtregel te misbruiken

In het verleden bleken LockBit 3.0-actoren ook een uitvoerbaar bestand van de VMWare-opdrachtregel, bekend als VMwareXferlogs.exe, te hebben misbruikt om Cobalt Strike-bakens in te zetten. Bij deze techniek voor het zijdelings laden van DLL maakte de aanvaller misbruik van de Log4Shell-kwetsbaarheid en misleidde hij het VMWare-hulpprogramma om een ​​schadelijke DLL te laden in plaats van de oorspronkelijke, onschadelijke DLL.

Het is ook niet bekend waarom de kwaadwillende partij op het moment van schrijven is begonnen met het misbruiken van Windows Defender in plaats van VMWare.

SentinelOne meldt dat VMWare en Windows Defender risicovol zijn

In De blogpost van SentinelOne over de LockBit 3.0-aanvallen werd gesteld dat "VMware en Windows Defender een hoge prevalentie hebben in de" onderneming en een groot nut voor bedreigingsactoren als ze buiten de geïnstalleerde beveiliging mogen opereren controles".

Aanvallen van deze aard, waarbij beveiligingsmaatregelen worden ontweken, komen steeds vaker voor, waarbij VMWare en Windows Defender belangrijke doelwitten zijn geworden in dergelijke ondernemingen.

LockBit-aanvallen vertonen geen tekenen van stoppen

Hoewel deze nieuwe golf van aanvallen is erkend door verschillende cyberbeveiligingsbedrijven, leven buiten het land Er worden nog steeds voortdurend technieken gebruikt om hulpprogramma's te misbruiken en kwaadaardige bestanden voor gegevens in te zetten diefstal. Het is niet bekend of in de toekomst nog meer hulpprogramma's zullen worden misbruikt met LockBit 3.0 of een andere versie van de LockBit RaaS-familie.