LockBit Ransomware 滥用 Windows Defender 部署 Cobalt Strike Payload
已观察到与LockBit 3.0勒索软件即服务 (RaaS) 操作相关的威胁参与者滥用 Windows Defender 命令行工具来解密和加载 Cobalt Strike 有效负载。
根据 SentinelOne 上周发布的一份报告,该事件发生在通过Log4Shell 漏洞对未修补的 VMware Horizon Server 获得初始访问权限之后。
研究人员 Julio Dantas、James Haughom 和 Julien Reisdorffer说。
LockBit 3.0(又名 LockBit Black)带有“让勒索软件再次伟大!”的标语,是2022 年 6 月出现的多产LockBit RaaS 系列的下一个迭代版本,旨在消除其前身中发现的关键弱点。
值得注意的是,它为 RaaS 程序设立了有史以来的第一个漏洞赏金。除了改进泄漏站点以命名和羞辱不合规目标并发布提取的数据外,它还包括一个新的搜索工具,可以更轻松地找到特定的受害者数据。
网络入侵者使用离地 ( LotL )技术,其中系统中可用的合法软件和功能用于后期利用,这并不新鲜,通常被视为逃避安全软件检测的尝试.
今年 4 月初,LockBit 的一家附属公司被发现利用名为 VMwareXferlogs.exe 的 VMware 命令行实用程序来删除 Cobalt Strike。这次不同的是使用 MpCmdRun.exe 来实现相同的目标。
MpCmdRun.exe 是一个命令行工具,用于在 Microsoft Defender 防病毒软件中执行各种功能,包括扫描恶意软件、收集诊断数据以及将服务恢复到以前的版本等。
在 SentinelOne 分析的事件中,初始访问之后是从远程服务器下载 Cobalt Strike 有效负载,随后使用 Windows Defender 实用程序对其进行解密和加载。
研究人员说:“应该受到仔细审查的工具是组织或组织的安全软件已经例外的任何工具。”
“像 VMware 和 Windows Defender 这样的产品在企业中具有很高的流行度,并且如果允许它们在已安装的安全控制之外运行,那么它们对威胁参与者的实用性很高。”
调查结果出炉之际,初始访问代理 (IAB) 正在积极向其他威胁参与者出售对公司网络的访问权限,包括托管服务提供商 (MSP) 以获取利润,进而提供了一种危害下游客户的方法。
2022 年 5 月,来自澳大利亚、加拿大、新西兰、英国和美国的网络安全当局警告称,攻击将易受攻击的托管服务提供商 (MSP) 武器化为“对多个受害者网络的初始访问媒介,具有全球级联效应”。
Huntress 研究员 Harlan Carvey说: “MSP 仍然是攻击者的一个有吸引力的供应链目标,尤其是 IAB,”他敦促公司保护他们的网络并实施多因素身份验证 (MFA)。
