LockBit アクターは、Windows Defender コマンドライン ツール MpCmdRun.exe を使用して PC を Cobalt Strike Beacon に感染させます。 その後、ランサムウェア LockBit がインストールされます。 マイクロソフトは、まだ警戒していない場合、厳戒態勢を取る必要があります。
サイバーセキュリティ調査会社 SentinelOne がニュースをリリースしました: 彼らは、Microsoft の内部マルウェア対策ソリューションが悪用され、被害者の PC やサーバーに Cobalt Strike Beacon をダウンロードしていることを発見しました。 この場合の攻撃者は、サービスとしての LockBit ランサムウェア (RaaS) オペレーターです。 MpCmdRun.exe 悪用されて被害者の PC に感染します。
Microsoft Defender ツールの悪用
この時点で、攻撃者は Log4j の脆弱性を悪用して、 MpCmdRun.exe 感染した「mpclient」DLL ファイルと暗号化された Cobalt Strike ペイロード ファイルをコマンド アンド コントロール サーバーからダウンロードします。 このようにして、被害者のシステムは特異的に感染します。 その後、古典的なプロセスが続きます。LockBit 恐喝ソフトウェアが使用され、システムが暗号化され、身代金要求が表示されます。
LockBit は脆弱性をすり抜けます
LockBit は、最近かなりの注目を集めています。 先週、SentinelLabs は LockBit 3.0 (別名 LockBit Black) について報告し、人気が高まっているこの RaaS の最新のイテレーションが一連の分析防止ルーチンとデバッグ防止ルーチンをどのように実装したかを説明しました。 この研究は、同様の発見を報告した他の研究者によってすぐに追跡されました。 一方、SentinelLabs は XNUMX 月に、LockBit の子会社がライブ展開で正規の VMware コマンドライン ユーティリティ VMwareXferlogs.exe を使用して Cobalt Strike をサイドローディングしたことを報告しました。
詳細な記事で、SentinelOne は、実際には正当なツールである Microsoft Defender が攻撃者によってどのように悪用されているかを示しています。
詳細は SentinelOne.com で