Ein böswilliger Akteur verwendet eine Ransomware namens LockBit 3.0, um das Windows Defender-Befehlszeilentool auszunutzen. Dabei werden Cobalt Strike Beacon-Nutzlasten eingesetzt.

Windows-Benutzer sind von Ransomware-Angriffen bedroht

Das Cybersicherheitsunternehmen SentinelOne hat einen neuen Bedrohungsakteur gemeldet, der LockBit 3.0 (auch bekannt als LockBit Black) verwendet. Ransomware, um die Datei MpCmdRun.exe zu missbrauchen, ein Befehlszeilendienstprogramm, das einen integralen Bestandteil der Windows-Sicherheit bildet System. MpCmdRun.exe kann nach Malware scannen, daher ist es nicht verwunderlich, dass dieser Angriff darauf abzielt.

LockBit 3.0 ist eine neue Malware-Iteration, die Teil des bekannten LockBit ist Ransomware-as-a-Service (RaaS) Familie, die zahlenden Kunden Ransomware-Tools anbietet.

LockBit 3.0 wird verwendet, um Cobalt Strike-Nutzdaten nach der Ausbeutung einzusetzen, was zu Datendiebstahl führen kann. Cobalt Strike kann auch die Erkennung von Sicherheitssoftware umgehen, was es dem böswilligen Akteur erleichtert, auf vertrauliche Informationen auf dem Gerät eines Opfers zuzugreifen und diese zu verschlüsseln.

Bei dieser Side-Loading-Technik wird auch das Dienstprogramm Windows Defender dazu verleitet, bösartige Schädlinge zu priorisieren und zu laden DLL (Dynamic Link Library), die dann die Cobalt Strike-Nutzlast über eine .log-Datei entschlüsseln kann.

LockBit wurde bereits verwendet, um die VMWare-Befehlszeile zu missbrauchen

In der Vergangenheit wurde auch festgestellt, dass LockBit 3.0-Akteure eine ausführbare VMWare-Befehlszeilendatei namens VMwareXferlogs.exe ausgenutzt haben, um Cobalt Strike-Beacons bereitzustellen. Bei dieser DLL-Seitenladetechnik nutzte der Angreifer die Log4Shell-Schwachstelle aus und brachte das VMWare-Dienstprogramm dazu, eine bösartige DLL anstelle der ursprünglichen, harmlosen DLL zu laden.

Es ist auch nicht bekannt, warum die böswillige Partei zum Zeitpunkt des Schreibens begonnen hat, Windows Defender anstelle von VMWare auszunutzen.

SentinelOne meldet, dass VMWare und Windows Defender ein hohes Risiko darstellen

Im Blogbeitrag von SentinelOne zu den LockBit 3.0-Angriffen wurde festgestellt, dass „VMware und Windows Defender eine hohe Verbreitung in der Unternehmen und einen hohen Nutzen für Bedrohungsakteure, wenn ihnen erlaubt wird, außerhalb der installierten Sicherheit zu operieren steuert".

Angriffe dieser Art, bei denen Sicherheitsmaßnahmen umgangen werden, werden immer häufiger, wobei VMWare und Windows Defender zu wichtigen Zielen bei solchen Unternehmungen gemacht wurden.

LockBit-Angriffe zeigen keine Anzeichen für ein Ende

Obwohl diese neue Welle von Angriffen von verschiedenen Cybersicherheitsunternehmen erkannt wurde, die vom Land leben Techniken werden immer noch kontinuierlich verwendet, um Dienstprogramme auszunutzen und bösartige Dateien für Daten bereitzustellen der Diebstahl. Es ist nicht bekannt, ob in Zukunft noch mehr Utility-Tools mit LockBit 3.0 oder einer anderen Iteration der LockBit RaaS-Familie missbraucht werden.