שחקן זדוני משתמש בזן של תוכנת כופר הידועה בשם LockBit 3.0 כדי לנצל את כלי שורת הפקודה של Windows Defender. מטענים של Cobalt Strike Beacon נפרסים בתהליך.
משתמשי Windows נמצאים בסיכון להתקפות כופר
חברת אבטחת הסייבר SentinelOne דיווחה על שחקן איומים חדש שמשתמש ב-LockBit 3.0 (הידוע גם בשם LockBit Black) תוכנת כופר כדי להשתמש לרעה בקובץ MpCmdRun.exe, כלי שירות שורת פקודה המהווה חלק בלתי נפרד מאבטחת Windows מערכת. MpCmdRun.exe יכול לסרוק לאיתור תוכנות זדוניות, כך שאין זה מפתיע שהוא ממוקד במתקפה זו.
LockBit 3.0 הוא איטרציה חדשה של תוכנות זדוניות שמהווה חלק מה-LockBit הידוע תוכנת כופר כשירות (RaaS) family, המציעה כלים של תוכנות כופר ללקוחות משלמים.
LockBit 3.0 משמש לפריסת עומסי Cobalt Strike לאחר ניצול, מה שעלול להוביל לגניבת נתונים. Cobalt Strike יכול גם לעקוף את זיהוי תוכנת האבטחה, מה שמקל על השחקן הזדוני לגשת ולהצפין מידע רגיש במכשיר של הקורבן.
בטכניקת טעינת צד זו, כלי השירות של Windows Defender הוא גם מרומה לתעדוף ולטעון קובץ זדוני DLL (ספריית קישורים דינמיים), אשר לאחר מכן יכול לפענח את מטען ה-Cobalt Strike באמצעות קובץ .log.
LockBit כבר שימש לשימוש לרעה בשורת הפקודה של VMWare
בעבר, גם שחקני LockBit 3.0 ניצלו קובץ הפעלה של שורת הפקודה של VMWare, המכונה VMwareXferlogs.exe, כדי לפרוס משואות Cobalt Strike. בטכניקת טעינת צד של DLL זו, התוקף ניצל את הפגיעות של Log4Shell והערימה את כלי השירות VMWare לטעון DLL זדוני במקום ה-DLL המקורי והלא מזיק.
כמו כן, לא ידוע מדוע הצד הזדוני החל לנצל את Windows Defender במקום VMWare בזמן הכתיבה.
SentinelOne מדווח ש-VMWare ו-Windows Defender הם בסיכון גבוה
ב הפוסט בבלוג של SentinelOne על התקפות LockBit 3.0, נאמר כי "ל-VMware ו-Windows Defender יש שכיחות גבוהה ב- ארגונית ושימוש גבוה לגורמי איום אם הם יורשו לפעול מחוץ לאבטחה המותקנת בקרות".
התקפות מסוג זה, שבהן מתחמקים מאמצעי אבטחה, הופכות נפוצות יותר ויותר, כאשר VMWare ו-Windows Defender הפכו למטרות מפתח במיזמים כאלה.
התקפות LockBit לא מראים סימני עצירה
למרות שגל ההתקפות החדש הזה הוכר על ידי חברות אבטחת סייבר שונות, החיים מחוץ לאדמה טכניקות עדיין נמצאות בשימוש מתמשך כדי לנצל כלי שירות ולפרוס קבצים זדוניים עבור נתונים גְנֵבָה. לא ידוע אם עוד יותר כלי שירות ינוצלו לרעה בעתיד באמצעות LockBit 3.0, או כל איטרציה אחרת של משפחת LockBit RaaS.
