Un acteur malveillant utilise une souche de ransomware connue sous le nom de LockBit 3.0 pour exploiter l’outil de ligne de commande Windows Defender. Les charges utiles Cobalt Strike Beacon sont déployées dans le cadre du processus.
Les utilisateurs de Windows sont exposés au risque d’attaques de ransomwares
La société de cybersécurité SentinelOne a signalé un nouvel acteur menaçant qui utilise le rançongiciel LockBit 3.0 (également connu sous le nom de LockBit Black) pour abuser du fichier MpCmdRun.exe, un utilitaire de ligne de commande qui fait partie intégrante du système de sécurité Windows. MpCmdRun.exe peut rechercher des logiciels malveillants, il n’est donc pas surprenant qu’il soit ciblé par cette attaque.
LockBit 3.0 est une nouvelle itération de logiciels malveillants qui fait partie de la célèbre famille LockBit ransomware-as-a-service (RaaS), qui propose des outils de ransomware aux clients payants.
LockBit 3.0 est utilisé pour déployer des charges utiles Cobalt Strike post-exploitation, ce qui peut entraîner le vol de données. Cobalt Strike peut également contourner la détection des logiciels de sécurité, ce qui permet à l’acteur malveillant d’accéder plus facilement aux informations sensibles et de les chiffrer sur l’appareil de la victime.
Dans cette technique de chargement latéral, l’utilitaire Windows Defender est également amené à hiérarchiser et à charger une DLL malveillante (bibliothèque de liens dynamiques), qui peut ensuite déchiffrer la charge utile Cobalt Strike via un fichier .log.
LockBit a déjà été utilisé pour abuser de la ligne de commande VMWare
Dans le passé, les acteurs de LockBit 3.0 ont également exploité un fichier exécutable de ligne de commande VMWare, connu sous le nom de VMwareXferlogs.exe, pour déployer des balises Cobalt Strike. Dans cette technique de chargement latéral de DLL, l’attaquant a exploité la vulnérabilité Log4Shell et a amené l’utilitaire VMWare à charger une DLL malveillante au lieu de la DLL d’origine inoffensive.
On ne sait pas non plus pourquoi la partie malveillante a commencé à exploiter Windows Defender au lieu de VMWare au moment de la rédaction.
SentinelOne signale que VMWare et Windows Defender sont à haut risque
Dans Article de blog de SentinelOne sur les attaques LockBit 3.0, il a été déclaré que « VMware et Windows Defender ont une forte prévalence dans l’entreprise et une grande utilité pour les acteurs de la menace s’ils sont autorisés à opérer en dehors des contrôles de sécurité installés ».
Les attaques de cette nature, dans lesquelles les mesures de sécurité sont contournées, deviennent de plus en plus courantes, VMWare et Windows Defender étant devenus des cibles clés dans de telles entreprises.
Les attaques LockBit ne montrent aucun signe d’arrêt
Bien que cette nouvelle vague d’attaques ait été reconnue par diverses sociétés de cybersécurité, des techniques de vie hors du terrain sont toujours utilisées pour exploiter des outils utilitaires et déployer des fichiers malveillants pour le vol de données. On ne sait pas si encore plus d’outils utilitaires seront abusés à l’avenir en utilisant LockBit 3.0, ou toute autre itération de la famille LockBit RaaS.
