कोबाल्ट स्ट्राइक बीकन के साथ पीसी को संक्रमित करने के लिए लॉकबिट अभिनेता विंडोज डिफेंडर कमांड-लाइन टूल MpCmdRun.exe का उपयोग करते हैं। उसके बाद रैंसमवेयर लॉकबिट इंस्टॉल हो जाएगा। यदि वे पहले से ही नहीं हैं तो Microsoft को हाई अलर्ट पर होना चाहिए।
साइबर सुरक्षा अनुसंधान कंपनी SentinelOne ने समाचार जारी किया है: उन्होंने पाया है कि पीड़ित पीसी और सर्वर पर कोबाल्ट स्ट्राइक बीकन लोड करने के लिए Microsoft के आंतरिक एंटी-मैलवेयर समाधान का दुरुपयोग किया जा रहा है। इस मामले में हमलावर लॉकबिट रैनसमवेयर एज़ ए सर्विस (राएएस) ऑपरेटर हैं MpCmdRun.exe पीड़ितों के पीसी को संक्रमित करने के लिए दुर्व्यवहार किया।
Microsoft डिफेंडर टूल का दुरुपयोग
इस बिंदु पर, हमलावर Log4j भेद्यता का फायदा उठाते हैं MpCmdRun.exe संक्रमित "mpclient" DLL फ़ाइल और एन्क्रिप्टेड कोबाल्ट स्ट्राइक पेलोड फ़ाइल को उनके कमांड और कंट्रोल सर्वर से डाउनलोड करें। इस तरह, पीड़ित का सिस्टम विशेष रूप से संक्रमित होता है। इसके बाद क्लासिक प्रक्रिया होती है: ब्लैकमेल सॉफ्टवेयर लॉकबिट का उपयोग किया जाता है, सिस्टम एन्क्रिप्ट किया जाता है और फिरौती की मांग प्रदर्शित की जाती है।
लॉकबिट भेद्यता से फिसल जाता है
लॉकबिट पर हाल ही में काफी ध्यान दिया जा रहा है। पिछले हफ्ते सेंटिनललैब्स ने लॉकबिट 3.0 (उर्फ लॉकबिट ब्लैक) पर सूचना दी और बताया कि कैसे इस तेजी से लोकप्रिय रास के नवीनतम पुनरावृत्ति ने एंटी-एनालिसिस और एंटी-डिबगिंग रूटीन का एक सेट लागू किया। इसी तरह के निष्कर्षों की रिपोर्ट करने वाले अन्य लोगों द्वारा अनुसंधान का तुरंत पालन किया गया। इस बीच, अप्रैल में वापस, SentinelLabs ने बताया कि कैसे एक LockBit सहायक ने कोबाल्ट स्ट्राइक को साइडलोड करने के लिए लाइव परिनियोजन में वैध VMware कमांड-लाइन उपयोगिता, VMwareXferlogs.exe का उपयोग किया।
एक विस्तृत लेख में SentinelOne दिखाता है कि कैसे Microsoft डिफेंडर, जो वास्तव में एक वैध उपकरण है, का हमलावरों द्वारा दुरुपयोग किया जा रहा है।
SentinelOne.com पर अधिक