LockBit aktörleri, PC'lere Cobalt Strike Beacon bulaştırmak için Windows Defender komut satırı aracı MpCmdRun.exe'yi kullanır. Bundan sonra, fidye yazılımı LockBit yüklenecektir. Halihazırda değilse, Microsoft yüksek alarmda olmalıdır.
Siber güvenlik araştırma şirketi SentinelOne bir haber yayınladı: Microsoft'un dahili kötü amaçlı yazılımdan koruma çözümünün Cobalt Strike Beacon'u kurban bilgisayarlara ve sunuculara indirmek için kötüye kullanıldığını keşfettiler. Bu durumda saldırganlar, hizmet olarak LockBit fidye yazılımı (RaaS) operatörleridir. MpCmdRun.exe kurbanların bilgisayarlarına bulaşmak için kötüye kullanıldı.
Microsoft Defender Aracı kötüye kullanıldı
Bu noktada saldırganlar, Log4j güvenlik açığından yararlanarak MpCmdRun.exe Komut ve kontrol sunucularından virüslü "mpclient" DLL dosyasını ve şifrelenmiş Cobalt Strike yük dosyasını indirin. Bu şekilde, bir kurbanın sistemine özel olarak virüs bulaşır. Bunu klasik süreç izler: LockBit şantaj yazılımı kullanılır, sistem şifrelenir ve bir fidye talebi görüntülenir.
LockBit güvenlik açığından sıyrılıyor
LockBit son zamanlarda oldukça ilgi görüyor. Geçen hafta SentinelLabs, LockBit 3.0 (aka LockBit Black) hakkında rapor verdi ve giderek daha popüler hale gelen bu RaaS'nin en son yinelemesinin bir dizi analiz ve hata ayıklama önleme rutini uyguladığını açıkladı. Araştırma, benzer bulguları bildiren başkaları tarafından hızla takip edildi. Bu arada, Nisan ayında SentinelLabs, bir LockBit yan kuruluşunun Cobalt Strike'ı yandan yüklemek için canlı bir dağıtımda meşru VMware komut satırı yardımcı programı VMwareXferlogs.exe'yi nasıl kullandığını bildirdi.
Ayrıntılı bir makalede SentinelOne, aslında meşru bir araç olan Microsoft Defender'ın saldırganlar tarafından nasıl kötüye kullanıldığını gösteriyor.
Daha fazlası SentinelOne.com'da