يستخدم ممثل ضار سلسلة من برامج الفدية المعروفة باسم LockBit 3.0 لاستغلال أداة سطر أوامر Windows Defender. يتم نشر حمولات Cobalt Strike Beacon في هذه العملية.
مستخدمو Windows معرضون لخطر هجمات برامج الفدية
أبلغت شركة الأمن السيبراني SentinelOne عن ممثل تهديد جديد يستخدم LockBit 3.0 (المعروف أيضًا باسم LockBit Black) برامج الفدية لإساءة استخدام ملف MpCmdRun.exe ، وهو أداة مساعدة لسطر الأوامر تشكل جزءًا لا يتجزأ من أمان Windows النظام. يمكن لـ MpCmdRun.exe البحث عن البرامج الضارة ، لذا فليس من المستغرب أن يتم استهدافها في هذا الهجوم.
LockBit 3.0 هو تكرار جديد للبرامج الضارة يشكل جزءًا من LockBit المعروف برامج الفدية كخدمة (RaaS) family ، التي تقدم أدوات رانسوم وير للعملاء الذين يدفعون رسومًا.
يتم استخدام LockBit 3.0 لنشر حمولات Cobalt Strike بعد الاستغلال ، والتي يمكن أن تؤدي إلى سرقة البيانات. يمكن لـ Cobalt Strike أيضًا تجاوز اكتشاف برامج الأمان ، مما يسهل على الفاعل الضار الوصول إلى المعلومات الحساسة وتشفيرها على جهاز الضحية.
في تقنية التحميل الجانبي هذه ، يتم خداع الأداة المساعدة Windows Defender لتحديد أولويات وتحميل برنامج ضار
DLL (مكتبة الارتباط الديناميكي)، والتي يمكنها بعد ذلك فك تشفير حمولة Cobalt Strike عبر ملف log.تم استخدام LockBit بالفعل لإساءة استخدام سطر أوامر برنامج VMWare
في الماضي ، تم اكتشاف أن الجهات الفاعلة في LockBit 3.0 قد استغلت ملفًا تنفيذيًا لسطر أوامر VMWare ، يُعرف باسم VMwareXferlogs.exe ، لنشر منارات Cobalt Strike. في تقنية التحميل الجانبي لـ DLL ، استغل المهاجم الثغرة الأمنية Log4Shell وخدع الأداة المساعدة VMWare لتحميل DLL ضار بدلاً من DLL الأصلي غير المؤذي.
كما أنه من غير المعروف سبب بدء الطرف الخبيث في استغلال Windows Defender بدلاً من برنامج VMWare في وقت كتابة هذا التقرير.
تفيد تقارير SentinelOne أن برنامج VMWare و Windows Defender عالي المخاطر
في مشاركة مدونة SentinelOne في هجمات LockBit 3.0 ، ذُكر أن "برنامج VMware و Windows Defender لهما انتشار كبير في المؤسسة وأداة مساعدة عالية للجهات الفاعلة في التهديد إذا سُمح لها بالعمل خارج الأمان المثبت ضوابط".
الهجمات من هذا النوع ، حيث يتم التهرب من الإجراءات الأمنية ، أصبحت شائعة بشكل متزايد ، حيث تم جعل VMWare و Windows Defender أهدافًا رئيسية في مثل هذه المشاريع.
لا تظهر هجمات LockBit أي علامات على التوقف
على الرغم من أن هذه الموجة الجديدة من الهجمات قد تم التعرف عليها من قبل العديد من شركات الأمن السيبراني ، التي تعيش خارج الأرض لا تزال التقنيات تُستخدم باستمرار لاستغلال الأدوات المساعدة ونشر الملفات الضارة للبيانات سرقة. من غير المعروف ما إذا كان سيتم إساءة استخدام المزيد من أدوات المساعدة في المستقبل باستخدام LockBit 3.0 ، أو أي تكرار آخر لعائلة LockBit RaaS.