گردانندگان باجافزار LockBit ۳.۰ با سوء استفاده از خط فرمان Windows Defender و یک سری روالهای ضد شناسایی و ضد تحلیل برای دور زدن محصولات امنیتی، فعالیت خود را از سر گرفتند.
به گزارش گرداب ، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده میکند.
Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگیهای گستردهای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری دادهها استفاده میشود.
در این حملات، از طریق آسیبپذیری Log ۴ j نفوذ اولیه به هدف موردنظر در سرور VMWare Horizon که وصله نشده است، صورت میگیرد.
پس از نفوذ اولیه، مهاجمان با استفاده از فرمانهایی تلاش میکنند که چندین ابزار را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.
در این سری از حملات به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده میشود که کد مخرب را رمزگشایی میکند.
کد بدافزاری، DLL مخرب و ابزار معتبر را، مهاجمان با بهکارگیری ابزار معتبر خط فرمان، از سرور کنترل و فرماندهی خود دانلود میکنند.
استفاده از ابزارها و توابع عادی و سالم سیستمعامل و دیگر نرمافزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روشهایی است که مهاجمان برای مخفی ماندن از دید سیستمهای امنیتی و ضدویروسهای قدیمی و شناسایی نشدن به کار میگیرند. به این روش «کسب روزی از زمین» یا Living off the Land - بهاختصار LotL - گفته میشود.
کارشناسان مرکز مدیریت راهبردی افتا تاکید میکنند که استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چرا که به طور گسترده در سازمانها به کار گرفته میشوند و از پتانسیل خوبی برای بهرهجویی مهاجمان برخوردارند، درعینحال راهبران امنیتی موظفند وصلههای منتشر شده را برای تمامی محصولات، به موقع بهروزرسانی کنند.
