Un actor de amenazas asociado con el BloqueoBit 3.0 Se ha observado que la operación de ransomware como servicio (RaaS) abusa de la herramienta de línea de comandos de Windows Defender para descifrar y cargar las cargas útiles de Cobalt Strike.
Según un informe publicado por SentinelOne la semana pasada, el incidente ocurrió después de obtener acceso inicial a través de la vulnerabilidad Log4Shell contra un VMware Horizon Server sin parches.
«Una vez que se logró el acceso inicial, los actores de amenazas ejecutaron una serie de comandos de enumeración e intentaron ejecutar varias herramientas posteriores a la explotación, incluidas Meterpreter, PowerShell Empire y una nueva forma de carga lateral de Cobalt Strike», los investigadores Julio Dantas, James Haughom y Julien Reisdorffer dijo.
LockBit 3.0 (también conocido como LockBit Black), que viene con el lema «¡Haz que el ransomware vuelva a ser grandioso!», es la próxima iteración del prolífico Familia LockBit RaaS que surgió en junio de 2022 para limar debilidades críticas descubierto en su antecesor.
Es notable por instituir lo que es la primera recompensa por errores para un programa RaaS. Además de presentar un sitio de fugas renovado para nombrar y avergonzar a los objetivos que no cumplen y publicar los datos extraídos, también incluye una nueva herramienta de búsqueda para facilitar la búsqueda de datos específicos de víctimas.
El uso de técnicas de living-off-the-land (LotL) por parte de los intrusos cibernéticos, en las que el software legítimo y las funciones disponibles en el sistema se utilizan para la explotación posterior, no es nuevo y generalmente se considera un intento de evadir la detección por parte del software de seguridad. .
A principios de abril, se descubrió que un afiliado de LockBit tenía apalancado una utilidad de línea de comandos de VMware llamada VMwareXferlogs.exe para eliminar Cobalt Strike. Lo que es diferente esta vez es el uso de MpCmdRun.exe para lograr el mismo objetivo.
MpCmdRun.exe es un herramienta de línea de comandos para llevar a cabo diversas funciones en Microsoft Defender Antivirus, incluido el análisis de software malintencionado, la recopilación de datos de diagnóstico y la restauración del servicio a una versión anterior, entre otras.
En el incidente analizado por SentinelOne, el acceso inicial fue seguido por la descarga de un payload de Cobalt Strike desde un servidor remoto, que posteriormente fue descifrado y cargado usando la utilidad Windows Defender.
«Las herramientas que deben recibir un escrutinio cuidadoso son aquellas para las que la organización o el software de seguridad de la organización han hecho excepciones», dijeron los investigadores.
«Productos como VMware y Windows Defender tienen una alta prevalencia en la empresa y una gran utilidad para los actores de amenazas si se les permite operar fuera de los controles de seguridad instalados».
Los hallazgos se producen cuando los intermediarios de acceso inicial (IAB) están vendiendo activamente el acceso a las redes de la empresa, incluidos los proveedores de servicios administrados (MSP), a otros actores de amenazas con fines de lucro, lo que a su vez ofrece una forma de comprometer a los clientes intermedios.
En mayo de 2022, las autoridades de seguridad cibernética de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU. advirtieron sobre los ataques que utilizan como armas a los proveedores de servicios administrados (MSP) vulnerables como un «vector de acceso inicial a múltiples redes de víctimas, con efectos en cascada a nivel mundial».
«Los MSP siguen siendo un objetivo atractivo de la cadena de suministro para los atacantes, en particular los IAB», dijo el investigador de Huntress, Harlan Carvey. dijoinstando a las empresas a proteger sus redes e implementar la autenticación multifactor (MFA).