Pahatahtlik tegutseja kasutab Windows Defenderi käsurea tööriista ärakasutamiseks lunavaratüve nimega LockBit 3.0. Protsessi käigus kasutatakse Cobalt Strike Beaconi kasulikke koormusi.
Windowsi kasutajad on lunavararünnakute ohus
Küberturvalisuse ettevõte SentinelOne on teatanud uuest ohutegijast, kes kasutab LockBit 3.0 (tuntud ka kui LockBit Black) lunavara, et kuritarvitada faili MpCmdRun.exe – käsurea utiliiti, mis on Windowsi turvalisuse lahutamatu osa süsteem. MpCmdRun.exe suudab otsida pahavara, seega pole üllatav, et see rünnak on suunatud sellele.
LockBit 3.0 on uus pahavara iteratsioon, mis moodustab osa tuntud LockBitist ransomware-as-a-service (RaaS) perekond, mis pakub maksvatele klientidele lunavaratööriistu.
LockBit 3.0 kasutatakse kasutusjärgsete Cobalt Strike'i kasulike koormuste juurutamiseks, mis võib viia andmete varguseni. Cobalt Strike võib ka turvatarkvara tuvastamisest mööda minna, muutes pahatahtlikul osalejal ohvri seadmes tundlikule teabele juurdepääsu ja selle krüptimise lihtsamaks.
Selle külglaadimise tehnika puhul meelitatakse ka Windows Defenderi utiliiti pahatahtlikkust prioritiseerima ja laadima. DLL (dünaamilise lingi teek), mis saab seejärel Cobalt Strike'i kasuliku koormuse dekrüpteerida .log-faili kaudu.
LockBiti on juba kasutatud VMWare'i käsurea kuritarvitamiseks
Varem leiti, et LockBit 3.0 osalejad kasutasid Cobalt Strike'i majakate juurutamiseks VMWare'i käsurea käivitatavat faili, mida tuntakse nime all VMwareXferlogs.exe. Selle DLL-i külglaadimise tehnika puhul kasutas ründaja Log4Shelli haavatavust ja pettis VMWare'i utiliidi laadima algse kahjutu DLL-i asemel pahatahtlikku DLL-i.
Samuti pole teada, miks pahatahtlik osapool on hakanud selle kirjutamise ajal VMWare'i asemel kasutama Windows Defenderit.
SentinelOne teatab, et VMWare ja Windows Defender on kõrge riskiga
sisse SentinelOne'i ajaveebi postitus LockBit 3.0 rünnakute kohta öeldi, et "VMware ja Windows Defender on levinud ettevõte ja suure kasulikkuse ohus osalejatele, kui neil on lubatud tegutseda väljaspool paigaldatud turvalisust kontrollid".
Seda laadi rünnakud, mille käigus hoitakse kõrvale turvameetmetest, on muutumas üha tavalisemaks ning VMWare ja Windows Defender on selliste ettevõtmiste peamisteks sihtmärkideks.
LockBiti rünnakud ei näita peatumise märke
Kuigi mitmed küberjulgeoleku ettevõtted on seda uut rünnakulainet tunnustanud, elavad väljaspool maad tehnikaid kasutatakse endiselt pidevalt utiliitide ärakasutamiseks ja pahatahtlike failide juurutamiseks andmete jaoks vargus. Pole teada, kas LockBit 3.0 või mõne muu LockBit RaaS-i perekonna iteratsiooni abil kuritarvitatakse tulevikus veelgi rohkem utiliite.
