Un acteur menaçant associé au LockBit 3.0 Une opération de ransomware-as-a-service (RaaS) a été observée abusant de l’outil de ligne de commande Windows Defender pour déchiffrer et charger les charges utiles Cobalt Strike.
Selon un rapport publié par SentinelOne la semaine dernière, l’incident s’est produit après l’obtention d’un accès initial via la vulnérabilité Log4Shell contre un serveur VMware Horizon non corrigé.
« Une fois l’accès initial obtenu, les acteurs de la menace ont exécuté une série de commandes d’énumération et tenté d’exécuter plusieurs outils de post-exploitation, notamment Meterpreter, PowerShell Empire et une nouvelle façon de charger Cobalt Strike », ont déclaré les chercheurs Julio Dantas, James Haughom et Julien Reisdorffer a dit.
LockBit 3.0 (alias LockBit Black), qui vient avec le slogan « Make Ransomware Great Again! », est la prochaine itération du prolifique Famille LockBit RaaS qui a émergé en juin 2022 pour aplanir faiblesses critiques découvert dans son prédécesseur.
Il est remarquable d’avoir institué la toute première prime de bogue pour un programme RaaS. En plus de proposer un site de fuite remanié pour nommer et honte les cibles non conformes et publier les données extraites, il comprend également un nouvel outil de recherche pour faciliter la recherche de données spécifiques sur les victimes.
L’utilisation de techniques de vie hors de la terre (LotL) par des cyber-intrus, dans lesquelles des logiciels et des fonctions légitimes disponibles dans le système sont utilisés pour la post-exploitation, n’est pas nouvelle et est généralement considérée comme une tentative d’échapper à la détection par un logiciel de sécurité .
Plus tôt en avril, il a été découvert qu’un affilié de LockBit avait à effet de levier un utilitaire de ligne de commande VMware appelé VMwareXferlogs.exe pour supprimer Cobalt Strike. Ce qui est différent cette fois-ci, c’est l’utilisation de MpCmdRun.exe pour atteindre le même objectif.
MpCmdRun.exe est un outil de ligne de commande pour exécuter diverses fonctions dans Microsoft Defender Antivirus, y compris la recherche de logiciels malveillants, la collecte de données de diagnostic et la restauration du service à une version précédente, entre autres.
Dans l’incident analysé par SentinelOne, l’accès initial a été suivi du téléchargement d’une charge utile Cobalt Strike à partir d’un serveur distant, qui a ensuite été déchiffrée et chargée à l’aide de l’utilitaire Windows Defender.
« Les outils qui devraient faire l’objet d’un examen minutieux sont ceux pour lesquels l’organisation ou le logiciel de sécurité de l’organisation ont fait des exceptions », ont déclaré les chercheurs.
« Des produits comme VMware et Windows Defender ont une forte prévalence dans l’entreprise et une grande utilité pour les acteurs de la menace s’ils sont autorisés à opérer en dehors des contrôles de sécurité installés. »
Les découvertes surviennent alors que les courtiers d’accès initiaux (IAB) vendent activement l’accès aux réseaux d’entreprise, y compris les fournisseurs de services gérés (MSP), à d’autres acteurs de la menace à des fins lucratives, offrant à leur tour un moyen de compromettre les clients en aval.
En mai 2022, les autorités de cybersécurité d’Australie, du Canada, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont mis en garde contre les attaques militarisant les fournisseurs de services gérés (MSP) vulnérables en tant que « vecteur d’accès initial à plusieurs réseaux de victimes, avec des effets en cascade à l’échelle mondiale ».
« Les MSP restent une cible attrayante de la chaîne d’approvisionnement pour les attaquants, en particulier les IAB », a déclaré Harlan Carvey, chercheur chez Huntress. a ditexhortant les entreprises à sécuriser leurs réseaux et à mettre en œuvre l’authentification multifacteur (MFA).