Gli attori di LockBit utilizzano lo strumento da riga di comando di Windows Defender MpCmdRun.exe per infettare i PC con Cobalt Strike Beacon. Successivamente, verrà installato il ransomware LockBit. Microsoft dovrebbe essere in allerta se non lo sono già.
La società di ricerca sulla sicurezza informatica SentinelOne ha rilasciato notizie: hanno scoperto che la soluzione anti-malware interna di Microsoft viene utilizzata in modo improprio per scaricare Cobalt Strike Beacon sui PC e sui server delle vittime. Gli aggressori in questo caso sono gli operatori LockBit ransomware as a service (RaaS). MpCmdRun.exe abusato per infettare i PC delle vittime.
Strumento Microsoft Defender abusato
A questo punto, gli aggressori sfruttano la vulnerabilità di Log4j per MpCmdRun.exe Scarica il file DLL "mpclient" infetto e il file payload Cobalt Strike crittografato dal loro server di comando e controllo. In questo modo, il sistema di una vittima viene specificamente infettato. Segue il processo classico: viene utilizzato il software di ricatto LockBit, il sistema viene crittografato e viene visualizzata una richiesta di riscatto.
LockBit scivola attraverso la vulnerabilità
LockBit ha ricevuto molta attenzione ultimamente. La scorsa settimana, SentinelLabs ha riferito di LockBit 3.0 (noto anche come LockBit Black) e ha descritto come l'ultima iterazione di questo RaaS sempre più popolare abbia implementato una serie di routine anti-analisi e anti-debug. La ricerca è stata rapidamente seguita da altri che hanno riportato risultati simili. Nel frattempo, ad aprile, SentinelLabs ha riferito di come una consociata di LockBit abbia utilizzato la legittima utility della riga di comando di VMware, VMwareXferlogs.exe, in una distribuzione live per eseguire il sideload di Cobalt Strike.
In un articolo dettagliato, SentinelOne mostra come Microsoft Defender, che in realtà è uno strumento legittimo, viene utilizzato in modo improprio dagli aggressori.
Altro su SentinelOne.com