Lockbit 3.0 fidye yazılımı işlemiyle ilişkili bir tehdit oyuncusu, Windows Defender komut satırı aracını, tehlikeye atılan sistemlere kobalt grev işaretlerini yüklemek ve güvenlik yazılımı tarafından algılamadan kaçmak için kötüye kullanıyor.
Cobalt Strike, verileri çalmadan ve şifrelemeden önce gizli ağ keşifleri ve yanal hareket yapmak için tehdit aktörleri arasında popüler olan geniş özelliklere sahip meşru bir penetrasyon testi paketidir.
Bununla birlikte, güvenlik çözümleri kobalt grev işaretlerini tespit etmede daha iyi hale geldi ve tehdit aktörlerinin araç setini dağıtmak için yenilikçi yollar aramasına neden oldu.
Lockbit fidye yazılımı saldırısı için son zamanlarda yapılan bir olay müdahale durumunda, Sentinel Labs'taki araştırmacılar, Microsoft Defender’ın komut satırı aracı “mpcmdrun.exe” nin kötüye kullanıldığını fark ettiler.
Her iki durumda da ilk ağ uzlaşması, PowerShell kodunu çalıştırmak için savunmasız VMware Horizon sunucularında bir Log4J kusurundan yararlanarak gerçekleştirildi.
VMware komut satırı yardımcı programlarının kötüye kullanılmasına dayanan benzer enfeksiyon zincirleri hakkında raporlar olduğundan, uzatılmış sistemlerde yan yükleme kobalt grev işaretleri Lockbit için yeni değildir.
Bir hedef sisteme erişim sağladıktan ve gerekli kullanıcı ayrıcalıklarını kazandıktan sonra, tehdit aktörleri PowerShell'i üç dosyayı indirmek için kullanır: Windows CL yardımcı programının temiz bir kopyası, bir DLL dosyası ve bir günlük dosyası.
MPCMDRUN.EXE, Microsoft Defender görevlerini gerçekleştirmek için bir komut satırı yardımcı programıdır ve kötü amaçlı yazılım taraması, bilgi toplama, öğeleri geri yükleme, teşhis izleme ve daha fazlasını yapmak için komutları destekler.
Yürütüldüğünde, mpcmdrun.exe, programın doğru çalışması için gerekli olan “mpclient.dll” adlı meşru bir DLL yükler.
Sentinellabs tarafından analiz edilen durumda, tehdit aktörleri mpclient.dll'nin kendi silahlandırılmış versiyonlarını oluşturdu ve DLL dosyasının kötü amaçlı sürümünün yüklenmesine öncelik veren bir yere yerleştirdiler.
Yürütülen kod yükler ve “C0000015.log” dosyasından şifreli bir kobalt grev yükünü şifresini çözer, saldırının önceki aşamasından diğer iki dosya ile birlikte düştü.
Lockbit bağlı kuruluşunun neden yan yükleme kobalt grev işaretleri için VMware'den Windows Defender komut satırı araçlarına geçtiği belirsiz olsa da, önceki yönteme yanıt olarak uygulanan hedefli korumaları atlamak olabilir.
EDR ve AV tespitinden kaçınmak için “topraktan yaşamak” araçlarını kullanmak bugünlerde son derece yaygındır; Bu nedenle kuruluşların güvenlik kontrollerini kontrol etmeleri ve saldırganlar tarafından kullanılabilecek meşru yürütülebilir ürünlerin kullanımını izleme konusunda uyanıklık göstermeleri gerekmektedir.
Lockbit, İtalyan vergi ajansına yönelik fidye yazılımı saldırısını iddia ediyor
Lockbit 3.0 ilk fidye yazılımı hatası ödül programını tanıttı
Fidye yazılımı, hackleme grupları kobalt grevinden kaba ratel'e geçiyor
Bilgisayar korsanları, kobalt grevini dağıtmak için üç yaşındaki Telerik kusurlarını sömürüyor
Microsoft, Raspberry Robin Kötü Yazılımları Evil Corp Saldırılarına Bağlar
Kaynak: Bleeping Computer