Kötü niyetli bir aktör, Windows Defender komut satırı aracından yararlanmak için LockBit 3.0 olarak bilinen bir fidye yazılımı türü kullanıyor. Bu süreçte Cobalt Strike Beacon yükleri konuşlandırılıyor.
Windows Kullanıcıları Fidye Yazılım Saldırıları Riski Altında
Siber güvenlik firması SentinelOne, LockBit 3.0 (LockBit Black olarak da bilinir) kullanan yeni bir tehdit aktörü bildirdi. Windows Güvenliği'nin ayrılmaz bir parçasını oluşturan bir komut satırı yardımcı programı olan MpCmdRun.exe dosyasını kötüye kullanan fidye yazılımı sistem. MpCmdRun.exe kötü amaçlı yazılım taraması yapabilir, bu nedenle bu saldırıda hedef alınması şaşırtıcı değildir.
LockBit 3.0, iyi bilinen LockBit'in bir parçasını oluşturan yeni bir kötü amaçlı yazılım yinelemesidir. bir hizmet olarak fidye yazılımı (RaaS) ödeme yapan müşterilere fidye yazılımı araçları sunan ailesi.
LockBit 3.0, veri hırsızlığına yol açabilecek kullanım sonrası Cobalt Strike yüklerini dağıtmak için kullanılıyor. Cobalt Strike ayrıca güvenlik yazılımı algılamasını atlayarak kötü niyetli aktörün kurbanın cihazındaki hassas bilgilere erişmesini ve bu bilgileri şifrelemesini kolaylaştırır.
Bu yandan yükleme tekniğinde, Windows Defender yardımcı programı da kötü amaçlı bir DLL (dinamik bağlantı kitaplığı), bu daha sonra bir .log dosyası aracılığıyla Cobalt Strike yükünün şifresini çözebilir.
LockBit, VMWare Komut Satırını Kötüye Kullanmak İçin Zaten Kullanıldı
Geçmişte LockBit 3.0 aktörlerinin, Cobalt Strike işaretlerini dağıtmak için VMwareXferlogs.exe olarak bilinen bir VMWare komut satırı yürütülebilir dosyasından yararlandıkları da tespit edildi. Bu DLL yan yükleme tekniğinde, saldırgan Log4Shell güvenlik açığından yararlandı ve VMWare yardımcı programını orijinal, zararsız DLL yerine kötü amaçlı bir DLL yüklemesi için kandırdı.
Kötü niyetli tarafın neden VMWare yerine Windows Defender'ı kullanmaya başladığı da bilinmiyor.
SentinelOne, VMWare ve Windows Defender'ın Yüksek Riskli Olduğunu Bildiriyor
İçinde SentinelOne'ın blog yazısı LockBit 3.0 saldırılarında "VMware ve Windows Defender'ın, kurulu güvenlik dışında çalışmasına izin verilirse, aktörleri tehdit etmek için yüksek bir yardımcı kuruluş ve kontroller".
Güvenlik önlemlerinden kaçınıldığı bu tür saldırılar, VMWare ve Windows Defender'ın bu tür girişimlerde kilit hedefler haline gelmesiyle giderek yaygınlaşıyor.
LockBit Saldırıları Durma İşareti Göstermiyor
Bu yeni saldırı dalgası çeşitli siber güvenlik şirketleri tarafından kabul edilmiş olsa da, karada yaşayanlar yardımcı araçlardan yararlanmak ve veriler için kötü amaçlı dosyaları dağıtmak için teknikler hala sürekli olarak kullanılmaktadır. Çalınması. LockBit 3.0 veya LockBit RaaS ailesinin başka herhangi bir yinelemesi kullanılarak gelecekte daha da fazla yardımcı programın kötüye kullanılıp kullanılmayacağı bilinmiyor.
