خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

باج افزار LockBit از Windows Defender برای بارگذاری Cobalt Strike سوء استفاده می کند

ارشیا یوسفی ادیب ۱۹ شهریور, ۱۴۰۱ 2 min read

نوعی از باج افزار معروف به “LockBit 3.0” برای استقرار بارهای Cobalt Strike از طریق ابزار خط فرمان Windows Defender استفاده می شود.

یک بازیگر مخرب از گونه‌ای از باج‌افزار به نام LockBit 3.0 برای سوء استفاده از ابزار خط فرمان Windows Defender استفاده می‌کند. محموله های Cobalt Strike Beacon در این فرآیند مستقر می شوند.

کاربران ویندوز در معرض خطر حملات باج افزار قرار دارند

شرکت امنیت سایبری SentinelOne یک عامل تهدید جدید را گزارش کرده است که از باج افزار LockBit 3.0 (همچنین به نام LockBit Black) برای سوء استفاده از فایل MpCmdRun.exe، یک ابزار خط فرمان که بخشی جدایی ناپذیر از سیستم امنیتی ویندوز است، استفاده می کند. MpCmdRun.exe می تواند بدافزار را اسکن کند، بنابراین جای تعجب نیست که در این حمله مورد هدف قرار گیرد.

LockBit 3.0 یک بدافزار جدید تکراری است که بخشی از خانواده معروف LockBit ransomware-as-a-service (RaaS) را تشکیل می دهد که ابزارهای باج افزار را به مشتریان پرداخت می کند.

LockBit 3.0 برای استقرار بارهای Cobalt Strike پس از بهره برداری استفاده می شود که می تواند منجر به سرقت داده شود. Cobalt Strike همچنین می‌تواند تشخیص نرم‌افزار امنیتی را دور بزند و دسترسی و رمزگذاری اطلاعات حساس روی دستگاه قربانی را برای عامل مخرب آسان‌تر کند.

در این تکنیک بارگذاری جانبی، ابزار Windows Defender نیز فریب داده می‌شود تا یک DLL مخرب (کتابخانه پیوند پویا) را اولویت‌بندی و بارگذاری کند، که سپس می‌تواند بار Cobalt Strike را از طریق یک فایل log رمزگشایی کند.

LockBit قبلاً برای سوء استفاده از خط فرمان VMWare استفاده شده است

در گذشته، بازیگران LockBit 3.0 نیز از یک فایل اجرایی خط فرمان VMWare، معروف به VMwareXferlogs.exe برای استقرار Beacon های Cobalt Strike سوء استفاده می کردند. در این تکنیک بارگذاری جانبی DLL، مهاجم از آسیب‌پذیری Log4Shell سوء استفاده کرد و ابزار VMWare را فریب داد تا یک DLL مخرب را به جای DLL اصلی و بی‌ضرر بارگیری کند.

مطلب مرتبط:   چرا مایکروسافت ویندوز 9 را رد کرد؟

گرافیک لپ تاپ قفل شده در کنار پرچم جمجمه

همچنین مشخص نیست که چرا در زمان نگارش این مقاله، طرف مخرب به جای VMWare شروع به سوء استفاده از Windows Defender کرده است.

SentinelOne گزارش می دهد که VMWare و Windows Defender در معرض خطر هستند

در پست وبلاگ SentinelOne در مورد حملات LockBit 3.0، بیان شد که “VMware و Windows Defender از شیوع بالایی در سازمان برخوردار هستند و اگر به آنها اجازه داده شود خارج از کنترل‌های امنیتی نصب شده عمل کنند، از ابزاری برای تهدید عوامل استفاده می‌کنند.”

حملاتی از این نوع، که در آن از اقدامات امنیتی اجتناب می شود، به طور فزاینده ای رایج می شوند، به طوری که VMWare و Windows Defender به اهداف کلیدی در چنین سرمایه گذاری هایی تبدیل شده اند.

حملات LockBit هیچ نشانه ای از توقف را نشان نمی دهند

اگرچه این موج جدید حملات توسط شرکت‌های مختلف امنیت سایبری شناسایی شده است، تکنیک‌های زندگی در خارج از زمین هنوز به طور مداوم برای بهره‌برداری از ابزارهای کاربردی و استقرار فایل‌های مخرب برای سرقت اطلاعات استفاده می‌شوند. مشخص نیست که آیا ابزارهای کاربردی بیشتری در آینده با استفاده از LockBit 3.0 یا هر تکرار دیگری از خانواده LockBit RaaS مورد سوء استفاده قرار خواهند گرفت.

Tags: