Les acteurs de LockBit utilisent l'outil de ligne de commande Windows Defender MpCmdRun.exe pour infecter les PC avec Cobalt Strike Beacon. Après cela, le rançongiciel LockBit sera installé. Microsoft devrait être en état d'alerte s'il ne l'est pas déjà.
La société de recherche en cybersécurité SentinelOne a publié des nouvelles : elle a découvert que la solution anti-malware interne de Microsoft était utilisée de manière abusive pour charger Cobalt Strike Beacon sur les PC et les serveurs des victimes. Les attaquants dans ce cas sont les opérateurs du rançongiciel LockBit en tant que service (RaaS) MpCmdRun.exe abusé pour infecter les PC des victimes.
Outil Microsoft Defender abusé
À ce stade, les attaquants exploitent la vulnérabilité Log4j pour MpCmdRun.exe Téléchargez le fichier DLL "mpclient" infecté et le fichier de charge utile Cobalt Strike chiffré à partir de leur serveur de commande et de contrôle. De cette façon, le système d'une victime est spécifiquement infecté. S'ensuit le processus classique : le logiciel de chantage LockBit est utilisé, le système est crypté et une demande de rançon est affichée.
LockBit passe à travers la vulnérabilité
LockBit a attiré beaucoup d'attention ces derniers temps. La semaine dernière, SentinelLabs a rendu compte de LockBit 3.0 (alias LockBit Black) et décrit comment la dernière itération de ce RaaS de plus en plus populaire a mis en œuvre un ensemble de routines anti-analyse et anti-débogage. La recherche a été rapidement suivie par d'autres qui ont rapporté des résultats similaires. Pendant ce temps, en avril, SentinelLabs a rapporté comment une filiale de LockBit a utilisé l'utilitaire de ligne de commande VMware légitime, VMwareXferlogs.exe, dans un déploiement en direct pour charger Cobalt Strike.
Dans un article détaillé, SentinelOne montre comment Microsoft Defender, qui est en fait un outil légitime, est utilisé à mauvais escient par des attaquants.
Plus sur SentinelOne.com