Учасники LockBit використовують інструмент командного рядка Windows Defender MpCmdRun.exe для зараження ПК за допомогою Cobalt Strike Beacon. Після цього програма-вимагач LockBit буде встановлена. Microsoft має бути напоготові, якщо вони ще цього не зробили.
Дослідницька компанія з кібербезпеки SentinelOne опублікувала новини: вони виявили, що внутрішнє рішення Microsoft для захисту від зловмисного програмного забезпечення зловживається для завантаження Cobalt Strike Beacon на комп’ютери та сервери жертв. Зловмисниками в цьому випадку є оператори програми-вимагача LockBit як послуга (RaaS). MpCmdRun.exe зловживали для зараження ПК жертв.
Інструмент Microsoft Defender зловживали
На цьому етапі зловмисники використовують вразливість Log4j MpCmdRun.exe Завантажте заражений файл DLL «mpclient» і зашифрований файл корисного навантаження Cobalt Strike з їхнього сервера керування та керування. Таким чином відбувається конкретне зараження системи жертви. Далі йде класичний процес: використовується програмне забезпечення для шантажу LockBit, система шифрується та відображається вимога про викуп.
LockBit прослизає через вразливість
Останнім часом LockBit привертає доволі багато уваги. Минулого тижня SentinelLabs опублікувала звіт про LockBit 3.0 (він же LockBit Black) і описала, як остання ітерація цього дедалі популярнішого RaaS реалізувала набір процедур антианалізу та антиналагодження. За дослідженням швидко послідували інші, які повідомили про подібні висновки. Тим часом, ще в квітні SentinelLabs повідомила, як дочірня компанія LockBit використовувала законну утиліту командного рядка VMware VMwareXferlogs.exe під час живого розгортання для стороннього завантаження Cobalt Strike.
У детальній статті SentinelOne показує, як Microsoft Defender, який насправді є законним інструментом, зловживають зловмисники.
Більше на SentinelOne.com