/ / LockBit Ransomware khai thác Windows Defender để tải Cobalt Strike

LockBit Ransomware khai thác Windows Defender để tải Cobalt Strike

Một loại ransomware được gọi là “LockBit 3.0” đang được sử dụng để triển khai tải trọng Cobalt Strike thông qua công cụ dòng lệnh của Bộ bảo vệ Windows.

Một kẻ độc hại đang sử dụng một loạt ransomware được gọi là LockBit 3.0 để khai thác công cụ dòng lệnh của Bộ bảo vệ Windows. Các tải trọng Cobalt Strike Beacon đang được triển khai trong quá trình này.

Người dùng Windows có nguy cơ bị tấn công bằng Ransomware

Công ty bảo mật mạng SentinelOne đã báo cáo một tác nhân đe dọa mới đang sử dụng ransomware LockBit 3.0 (còn được gọi là LockBit Black) để lạm dụng tệp MpCmdRun.exe, một tiện ích dòng lệnh tạo thành một phần không thể thiếu của hệ thống Bảo mật Windows. MpCmdRun.exe có thể quét phần mềm độc hại, vì vậy không có gì ngạc nhiên khi nó đang là mục tiêu trong cuộc tấn công này.

LockBit 3.0 là một phiên bản phần mềm độc hại mới, tạo thành một phần của dòng ransomware-as-a-service (RaaS) nổi tiếng của LockBit, cung cấp các công cụ ransomware cho những khách hàng trả tiền.

LockBit 3.0 đang được sử dụng để triển khai tải trọng Cobalt Strike sau khai thác, điều này có thể dẫn đến đánh cắp dữ liệu. Cobalt Strike cũng có thể vượt qua sự phát hiện của phần mềm bảo mật, giúp kẻ độc hại truy cập và mã hóa thông tin nhạy cảm trên thiết bị của nạn nhân dễ dàng hơn.

Trong kỹ thuật tải bên này, tiện ích Windows Defender cũng đang bị lừa ưu tiên và tải một tệp DLL độc hại (thư viện liên kết động), sau đó có thể giải mã tải trọng Cobalt Strike thông qua tệp .log.

LockBit đã được sử dụng để lạm dụng dòng lệnh VMWare

Trước đây, các diễn viên LockBit 3.0 cũng được phát hiện đã khai thác tệp thực thi dòng lệnh VMWare, được gọi là VMwareXferlogs.exe, để triển khai báo hiệu Cobalt Strike. Trong kỹ thuật tải bên DLL này, kẻ tấn công đã khai thác lỗ hổng Log4Shell và lừa tiện ích VMWare tải một DLL độc hại thay vì DLL ban đầu, vô hại.

Nó cũng không biết tại sao bên độc hại đã bắt đầu khai thác Windows Defender thay vì VMWare tại thời điểm viết bài.

SentinelOne báo cáo rằng VMWare và Windows Defender có rủi ro cao

Trong bài đăng trên blog của SentinelOne về các cuộc tấn công LockBit 3.0, có nêu rằng “VMware và Windows Defender có mức độ phổ biến cao trong doanh nghiệp và tiện ích cao đối với các tác nhân đe dọa nếu chúng được phép hoạt động bên ngoài các biện pháp kiểm soát bảo mật đã cài đặt”.

Các cuộc tấn công có tính chất này, trong đó các biện pháp bảo mật được né tránh, đang ngày càng trở nên phổ biến, với VMWare và Windows Defender đã trở thành mục tiêu chính trong các dự án như vậy.

Các cuộc tấn công LockBit không có dấu hiệu dừng lại

Mặc dù làn sóng tấn công mới này đã được các công ty an ninh mạng khác nhau công nhận, nhưng các kỹ thuật độc lập vẫn đang tiếp tục được sử dụng để khai thác các công cụ tiện ích và triển khai các tệp độc hại để đánh cắp dữ liệu. Không biết liệu có nhiều công cụ tiện ích hơn nữa sẽ bị lạm dụng trong tương lai bằng cách sử dụng LockBit 3.0 hay bất kỳ sự lặp lại nào khác của gia đình LockBit RaaS hay không.

Bài viết liên quan:

  1. Tại sao việc cài đặt các bản cập nhật bảo mật lại quan trọng đến vậy
  2. CÁCH DÙNG THUỐC HẠ SỐT TẠI NHÀ ĐÚNG CÁCH, AN TOÀN và HIỆU QUẢ !
  3. GPU Nvidia LHR là gì? Bạn vẫn có thể sử dụng nó để chơi game?
  4. Cách dùng xe nâng bán tự động

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *