Os agentes do LockBit usam a ferramenta de linha de comando MpCmdRun.exe do Windows Defender para infectar os PCs com o Cobalt Strike Beacon. Depois disso, o ransomware LockBit será instalado. A Microsoft deve estar em alerta máximo, se ainda não estiver.
A empresa de pesquisa de segurança cibernética SentinelOne divulgou notícias: eles descobriram que a solução antimalware interna da Microsoft está sendo abusada para carregar o Cobalt Strike Beacon nos PCs e servidores das vítimas. Os atacantes, neste caso, são operadores LockBit ransomware como serviço (RaaS) MpCmdRun.exe abusados para infectar os PCs das vítimas.
Ferramenta do Microsoft Defender abusada
Neste ponto, os atacantes exploram a vulnerabilidade Log4j para MpCmdRun.exe Baixe o arquivo DLL "mpclient" infectado e o arquivo criptografado Cobalt Strike de seu servidor de comando e controle. Desta forma, o sistema da vítima é especificamente infectado. Isso é seguido pelo processo clássico: o software de chantagem LockBit é usado, o sistema é criptografado e um pedido de resgate é exibido.
LockBit desliza através da vulnerabilidade
O LockBit tem recebido bastante atenção ultimamente. Na semana passada, o SentinelLabs relatou o LockBit 3.0 (também conhecido como LockBit Black) e descreveu como a última iteração desse RaaS cada vez mais popular implementou um conjunto de rotinas anti-análise e anti-depuração. A pesquisa foi rapidamente seguida por outros que relataram resultados semelhantes. Enquanto isso, em abril, o SentinelLabs relatou como uma subsidiária da LockBit usou o legítimo utilitário de linha de comando VMware, VMwareXferlogs.exe, em uma implantação ao vivo para carregar o Cobalt Strike.
Em um artigo detalhado, o SentinelOne mostra como o Microsoft Defender, que na verdade é uma ferramenta legítima, está sendo mal utilizado por invasores.
Mais em SentinelOne.com