اخبار امنیت

باج افزار LockBit از Windows Defender برای بارگذاری Cobalt Strike سوء استفاده می‌کند

تحریریه اول نیوز
تحریریه اول نیوز
1 شهریور 1401 · 2 دقیقه
220
0
باج افزار LockBit

نوعی از باج افزار معروف به “LockBit 3.0” برای استقرار Cobalt Strike از ابزار خط فرمان Windows Defender استفاده می‌کند. محموله های Cobalt Strike Beacon در این فرآیند مستقر می‌شوند. درباره باج افزار LockBit بیشتر بدانید.

کاربران ویندوز در معرض خطر حملات باج افزار هستند

شرکت امنیت سایبری SentinelOne یک عامل تهدید جدید را گزارش کرده است که از باج افزار LockBit 3.0 (همچنین به نام LockBit Black) برای سوء استفاده از فایل MpCmdRun.exe، از ابزار خط فرمان که بخشی جدایی ناپذیر از سیستم امنیتی ویندوز است، استفاده می‌کند. MpCmdRun.exe می‌تواند بدافزار را اسکن کند، بنابراین جای تعجب نیست که در این حمله مورد هدف قرار گیرد.

LockBit 3.0 تکرار بدافزار جدیدی است که بخشی از خانواده معروف LockBit باج‌افزار به عنوان سرویس (RaaS) را تشکیل می‌دهد.

LockBit 3.0 برای استقرار بارهای Cobalt Strike پس از بهره برداری استفاده می‌شود که می‌تواند منجر به سرقت داده شود. Cobalt Strike همچنین می‌تواند نرم‌افزار امنیتی را دور بزند، دسترسی و رمزگذاری اطلاعات حساس روی دستگاه قربانی را برای عامل مخرب آسان تر کند.

در این تکنیک بارگذاری جانبی، ابزار Windows Defender همچنین فریب داده می‌شود تا یک DLL مخرب (کتابخانه پیوند پویا) را اولویت بندی و بارگیری کند، که سپس می‌تواند محموله Cobalt Strike را از طریق یک فایل log. رمزگشایی کند.

LockBit قبلاً برای سوء استفاده از خط فرمان VMWare استفاده شده است

در گذشته، LockBit 3.0 از یک فایل اجرایی خط فرمان VMWare، معروف به VMwareXferlogs.exe، برای استقرار Beacon های Cobalt Strike سوء استفاده می‌کرد. در این تکنیک بارگذاری جانبی DLL، مهاجم از آسیب ‌پذیری Log4Shell سوء استفاده کرد و ابزار VMWare را فریب داد تا یک DLL مخرب را به جای DLL اصلی و بی ضرر بارگذاری کند.

همچنین تا این لحظه مشخص نیست که چرا طرف مخرب به جای VMWare شروع به سوء استفاده از Windows Defender کرده است.

باج افزار LockBit
باج افزار LockBit

SentinelOne گزارش می دهد که VMWare و Windows Defender در معرض خطر هستند

در پست وبلاگ SentinelOne در مورد حملات LockBit 3.0، بیان شد که: “VMware و Windows Defender از شیوع بالایی در سازمان برخوردار هستند و در صورتی که به آنها اجازه داده شود خارج از کنترل های امنیتی نصب شده عمل کنند، از ابزاری برای تهدید عوامل استفاده می‌کنند.”

حملاتی با این ماهیت، که در آن از اقدامات امنیتی اجتناب می‌شود، به طور فزاینده ای رایج می‌شوند و VMWare و Windows Defender به اهداف کلیدی در چنین سرمایه گذاری هایی تبدیل شده‌اند.

حملات LockBit هیچ نشانه ای از توقف را نشان نمی‌دهند

اگرچه این موج جدید حملات توسط شرکت های مختلف امنیت سایبری شناسایی شده است، اما تکنیک هایی به طور مداوم برای بهره‌برداری از ابزارهای کاربردی و استقرار فایل های مخرب برای سرقت اطلاعات استفاده می‌شوند. مشخص نیست که آیا ابزارهای کاربردی بیشتری در آینده با استفاده از LockBit 3.0 یا هر عضو دیگری از خانواده LockBit RaaS مورد سوء استفاده قرار خواهند گرفت.

امتیاز این مطلب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

گوگل فارکس آموزش تخصصی آمارکتس

لینک های مفید

پرداخت های بین المللی 

خرید ارزهای دیجیتال