{"id":291171,"date":"2022-08-02T07:11:25","date_gmt":"2022-08-02T09:11:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lockbit-ransomware-abuse-de-windows-defender-pour-deployer-la-charge-utile-cobalt-strike\/"},"modified":"2022-08-02T07:11:25","modified_gmt":"2022-08-02T09:11:25","slug":"lockbit-ransomware-abuse-de-windows-defender-pour-deployer-la-charge-utile-cobalt-strike","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lockbit-ransomware-abuse-de-windows-defender-pour-deployer-la-charge-utile-cobalt-strike\/","title":{"rendered":"LockBit Ransomware abuse de Windows Defender pour d\u00e9ployer la charge utile Cobalt Strike"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant associ\u00e9 au <b>LockBit 3.0<\/b> Une op\u00e9ration de ransomware-as-a-service (RaaS) a \u00e9t\u00e9 observ\u00e9e abusant de l&#8217;outil de ligne de commande Windows Defender pour d\u00e9chiffrer et charger les charges utiles Cobalt Strike. <\/p>\n<p>Selon un rapport publi\u00e9 par SentinelOne la semaine derni\u00e8re, l&#8217;incident s&#8217;est produit apr\u00e8s l&#8217;obtention d&#8217;un acc\u00e8s initial via la vuln\u00e9rabilit\u00e9 Log4Shell contre un serveur VMware Horizon non corrig\u00e9.<\/p>\n<p>&#8220;Une fois l&#8217;acc\u00e8s initial obtenu, les acteurs de la menace ont ex\u00e9cut\u00e9 une s\u00e9rie de commandes d&#8217;\u00e9num\u00e9ration et tent\u00e9 d&#8217;ex\u00e9cuter plusieurs outils de post-exploitation, notamment Meterpreter, PowerShell Empire et une nouvelle fa\u00e7on de charger Cobalt Strike&#8221;, ont d\u00e9clar\u00e9 les chercheurs Julio Dantas, James Haughom et Julien Reisdorffer <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>LockBit 3.0 (alias LockBit Black), qui vient avec le slogan &#8220;Make Ransomware Great Again!&#8221;, est la prochaine it\u00e9ration du prolifique <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/lockbit-3-0-update-unpicking-the-ransomwares-latest-anti-analysis-and-evasion-techniques\/\" target=\"_blank\">Famille LockBit RaaS<\/a> qui a \u00e9merg\u00e9 en juin 2022 pour aplanir <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/security-compliance-and-identity\/part-1-lockbit-2-0-ransomware-bugs-and-database-recovery\/ba-p\/3254354\" target=\"_blank\">faiblesses critiques<\/a> d\u00e9couvert dans son pr\u00e9d\u00e9cesseur.<\/p>\n<p>Il est remarquable d&#8217;avoir institu\u00e9 la toute premi\u00e8re prime de bogue pour un programme RaaS.  En plus de proposer un site de fuite remani\u00e9 pour nommer et honte les cibles non conformes et publier les donn\u00e9es extraites, il comprend \u00e9galement un nouvel outil de recherche pour faciliter la recherche de donn\u00e9es sp\u00e9cifiques sur les victimes.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Ran\u00e7ongiciel LockBit\" border=\"0\" data-original-height=\"589\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659431484_625_LockBit-Ransomware-abuse-de-Windows-Defender-pour-deployer-la-charge.jpg\" title=\"Ran\u00e7ongiciel LockBit\" \/><\/div>\n<p>L&#8217;utilisation de techniques de vie hors de la terre (LotL) par des cyber-intrus, dans lesquelles des logiciels et des fonctions l\u00e9gitimes disponibles dans le syst\u00e8me sont utilis\u00e9s pour la post-exploitation, n&#8217;est pas nouvelle et est g\u00e9n\u00e9ralement consid\u00e9r\u00e9e comme une tentative d&#8217;\u00e9chapper \u00e0 la d\u00e9tection par un logiciel de s\u00e9curit\u00e9 .<\/p>\n<p>Plus t\u00f4t en avril, il a \u00e9t\u00e9 d\u00e9couvert qu&#8217;un affili\u00e9 de LockBit avait <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/lockbit-ransomware-side-loads-cobalt-strike-beacon-with-legitimate-vmware-utility\/\" target=\"_blank\">\u00e0 effet de levier<\/a> un utilitaire de ligne de commande VMware appel\u00e9 VMwareXferlogs.exe pour supprimer Cobalt Strike.  Ce qui est diff\u00e9rent cette fois-ci, c&#8217;est l&#8217;utilisation de MpCmdRun.exe pour atteindre le m\u00eame objectif.<\/p>\n<p>MpCmdRun.exe est un <a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/command-line-arguments-microsoft-defender-antivirus\" target=\"_blank\">outil de ligne de commande<\/a> pour ex\u00e9cuter diverses fonctions dans Microsoft Defender Antivirus, y compris la recherche de logiciels malveillants, la collecte de donn\u00e9es de diagnostic et la restauration du service \u00e0 une version pr\u00e9c\u00e9dente, entre autres.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Dans l&#8217;incident analys\u00e9 par SentinelOne, l&#8217;acc\u00e8s initial a \u00e9t\u00e9 suivi du t\u00e9l\u00e9chargement d&#8217;une charge utile Cobalt Strike \u00e0 partir d&#8217;un serveur distant, qui a ensuite \u00e9t\u00e9 d\u00e9chiffr\u00e9e et charg\u00e9e \u00e0 l&#8217;aide de l&#8217;utilitaire Windows Defender.<\/p>\n<p>&#8220;Les outils qui devraient faire l&#8217;objet d&#8217;un examen minutieux sont ceux pour lesquels l&#8217;organisation ou le logiciel de s\u00e9curit\u00e9 de l&#8217;organisation ont fait des exceptions&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Des produits comme VMware et Windows Defender ont une forte pr\u00e9valence dans l&#8217;entreprise et une grande utilit\u00e9 pour les acteurs de la menace s&#8217;ils sont autoris\u00e9s \u00e0 op\u00e9rer en dehors des contr\u00f4les de s\u00e9curit\u00e9 install\u00e9s.&#8221;<\/p>\n<p>Les d\u00e9couvertes surviennent alors que les courtiers d&#8217;acc\u00e8s initiaux (IAB) vendent activement l&#8217;acc\u00e8s aux r\u00e9seaux d&#8217;entreprise, y compris les fournisseurs de services g\u00e9r\u00e9s (MSP), \u00e0 d&#8217;autres acteurs de la menace \u00e0 des fins lucratives, offrant \u00e0 leur tour un moyen de compromettre les clients en aval.<\/p>\n<p>En mai 2022, les autorit\u00e9s de cybers\u00e9curit\u00e9 d&#8217;Australie, du Canada, de Nouvelle-Z\u00e9lande, du Royaume-Uni et des \u00c9tats-Unis ont mis en garde contre les attaques militarisant les fournisseurs de services g\u00e9r\u00e9s (MSP) vuln\u00e9rables en tant que &#8220;vecteur d&#8217;acc\u00e8s initial \u00e0 plusieurs r\u00e9seaux de victimes, avec des effets en cascade \u00e0 l&#8217;\u00e9chelle mondiale&#8221;.<\/p>\n<p>&#8220;Les MSP restent une cible attrayante de la cha\u00eene d&#8217;approvisionnement pour les attaquants, en particulier les IAB&#8221;, a d\u00e9clar\u00e9 Harlan Carvey, chercheur chez Huntress. <a rel=\"nofollow noopener\" href=\"https:\/\/www.huntress.com\/blog\/threat-advisory-hackers-are-selling-access-to-msps\" target=\"_blank\">a dit<\/a>exhortant les entreprises \u00e0 s\u00e9curiser leurs r\u00e9seaux et \u00e0 mettre en \u0153uvre l&#8217;authentification multifacteur (MFA).<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/lockbit-ransomware-abuses-windows.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant associ\u00e9 au LockBit 3.0 Une op\u00e9ration de ransomware-as-a-service (RaaS) a \u00e9t\u00e9 observ\u00e9e abusant de l&#8217;outil de ligne de commande Windows Defender pour d\u00e9chiffrer et charger les charges utiles Cobalt Strike. Selon un rapport publi\u00e9 par SentinelOne la semaine derni\u00e8re, l&#8217;incident s&#8217;est produit apr\u00e8s l&#8217;obtention d&#8217;un acc\u00e8s initial via la vuln\u00e9rabilit\u00e9 Log4Shell contre [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":291172,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10785,2280,5056,4168,4158,4165,4161,62688,9886,4157,4159,4171,4170,75287,4167,4160,4163,4162,185,4392,4172,4169,8544,5210,4166,4164,45020],"class_list":["post-291171","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-abuse","tag-charge","tag-cobalt","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-defender","tag-deployer","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lockbit","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-ransomware","tag-securite-informatique","tag-securite-internet","tag-strike","tag-utile","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/291171","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=291171"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/291171\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/291172"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=291171"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=291171"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=291171"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}