هشدار مرکز افتا درباره یک باج‌افزار جدید

هشدار مرکز افتا درباره یک باج‌افزار جدید
تاریخ انتشار : ۲۵ مرداد ۱۴۰۱

گردانندگان باج‌افزار LockBit ۳.۰ با سوء استفاده از خط فرمان Windows Defender و یک سری روال‌های ضد شناسایی و ضد تحلیل برای دور زدن محصولات امنیتی، فعالیت خود را از سر گرفتند.

به گزارش گرداب ، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده می‌کند.

Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده‌ای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری داده‌ها استفاده می‌شود.
در این حملات، از طریق آسیب‌پذیری Log ۴ j نفوذ اولیه به هدف موردنظر در سرور VMWare Horizon که وصله نشده است، صورت می‌گیرد.

پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند که چندین ابزار را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.

در این سری از حملات به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند.

کد بدافزاری، DLL مخرب و ابزار معتبر را، مهاجمان با به‌کارگیری ابزار معتبر خط فرمان، از سرور کنترل و فرماندهی خود دانلود می‌کنند.

استفاده از ابزار‌ها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزار‌های کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روش‌هایی است که مهاجمان برای مخفی ماندن از دید سیستم‌های امنیتی و ضدویروس‌های قدیمی و شناسایی نشدن به کار می‌گیرند. به این روش «کسب روزی از زمین» یا Living off the Land - به‌اختصار LotL - گفته می‌شود.

کارشناسان مرکز مدیریت راهبردی افتا تاکید می‌کنند که استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چرا که به طور گسترده در سازمان‌ها به کار گرفته می‌شوند و از پتانسیل خوبی برای بهره‌جویی مهاجمان برخوردارند، درعین‌حال راهبران امنیتی موظفند وصله‌های منتشر شده را برای تمامی محصولات، به موقع به‌روزرسانی کنند.