Злоумышленники используют командную строку Защитника Windows для доставки программы-вымогателя, известной как «LockBit 3.0»
Злоумышленники внедряют штамм программы-вымогателя, известный как LockBit 3.0, через средства командной строки Защитника Windows, развертывая в процессе полезные нагрузки Cobalt Strike Beacon.
Пользователи Windows подвергаются риску атак программ-вымогателей
Компания SentinelOne, специализирующаяся на киберзащите, сообщила о новых операциях злоумышленников, которые используют вымогатель LockBit 3.0 (также известный как LockBit Black) для злоупотребления файлом MpCmdRun.exe.
Это утилита командной строки, которая является неотъемлемой частью системы безопасности Windows. Исполняемый файл MpCmdRun.exe может сканировать систему на наличие вредоносных программ, поэтому неудивительно, что он является мишенью этой атаки.
LockBit 3.0 - это новая итерация вредоносного ПО, которая является частью известного семейства LockBit ransomware-as-a-service (RaaS), которое предлагает инструменты вымогателей для клиентов по подписке.
LockBit 3.0 используется для развертывания полезных нагрузок Cobalt Strike после эксплуатации, что может привести к краже данных. Cobalt Strike также может обходить обнаружение программного обеспечения безопасности, что облегчает злоумышленнику доступ и шифрование конфиденциальной информации на устройстве жертвы.
В этом методе загрузки неопубликованных приложений утилита Защитника Windows обманом используется для приоритизации и загрузки вредоносной библиотеки DLL (библиотеки динамической компоновки), которая затем может расшифровать полезную нагрузку Cobalt Strike через файл .log.
LockBit уже используется для злоупотребления командной строкой VMWare
LockBit 3.0 использовали и в прошлом, как исполняемый файл командной строки VMWare, известный под именем VMwareXferlogs.exe, для развертывания маяков Cobalt Strike. В этом методе загрузки неопубликованных приложений DLL злоумышленник воспользовался уязвимостью Log4Shell и обманом заставил утилиту VMWare загрузить вредоносную библиотеку DLL вместо оригинальной, безвредной библиотеки DLL.
Исследователи пока не могут с определённой точностью сказать, почему злоумышленники изменили вектор, переместив средства доставки с VMWare на встроенные утилиты командной строки Защитника Windows.
Опасность высокого уровня
В блоге SentinelOne об атаках LockBit 3.0 было заявлено, что
«VMware и Windows Defender имеют высокую распространенность на предприятии и высокую полезность для злоумышленников, если им разрешено работать за пределами установленных средств управления безопасностью».
Атаки такого рода, в которых меры безопасности уклоняются, становятся все более распространенными, причем VMWare и Защитник Windows становятся ключевыми целями в таких операциях.
Атаки LockBit без остановки
Новую волну нападений уже отметили в различных компаниями по кибербезопасности, а изучив методы, которые используют злоумышленники для атаки на целевые объекты, специалисты говорят об использовании злодеями утилитарных инструментов для развертывания вредоносных файлов и последующей кражи данных.
Однако исследователям пока не понятно, какое еще количество встроенных утилит могут использовать злоумышленники в будущем с помощью LockBit 3.0 или любой другой итерации семейства LockBit RaaS. Игра «Кто кого опередит», по всей видимости, не закончится никогда...