Aktor ancaman yang terkait dengan LockBit 3.0 Operasi ransomware-as-a-service (RaaS) telah diamati menyalahgunakan alat baris perintah Windows Defender untuk mendekripsi dan memuat muatan Cobalt Strike.
Menurut sebuah laporan yang diterbitkan oleh SentinelOne minggu lalu, insiden itu terjadi setelah mendapatkan akses awal melalui kerentanan Log4Shell terhadap VMware Horizon Server yang belum ditambal.
“Setelah akses awal tercapai, pelaku ancaman melakukan serangkaian perintah enumerasi dan mencoba menjalankan beberapa alat pasca-eksploitasi, termasuk Meterpreter, PowerShell Empire, dan cara baru untuk memuat Cobalt Strike,” peneliti Julio Dantas, James Haughom, dan Julien Reisdorffer berkata.
LockBit 3.0 (alias LockBit Black), yang hadir dengan tagline “Jadikan Ransomware Hebat Lagi!,” adalah iterasi berikutnya dari keluarga LockBit RaaS produktif yang muncul pada Juni 2022 untuk mengatasi kelemahan kritis yang ditemukan pada pendahulunya.
Ini terkenal karena melembagakan apa yang menjadi hadiah bug pertama untuk program RaaS. Selain menampilkan situs kebocoran yang diubah untuk menamai dan mempermalukan target yang tidak patuh dan mempublikasikan data yang diekstraksi, itu juga mencakup alat pencarian baru untuk mempermudah menemukan data korban tertentu.
Penggunaan teknik living-off-the-land (LotL) oleh penyusup dunia maya, di mana perangkat lunak dan fungsi yang sah yang tersedia dalam sistem digunakan untuk pasca-eksploitasi, bukanlah hal baru dan biasanya dilihat sebagai upaya untuk menghindari deteksi oleh perangkat lunak keamanan. .
Awal April ini, afiliasi LockBit ditemukan telah memanfaatkan utilitas baris perintah VMware yang disebut VMwareXferlogs.exe untuk menjatuhkan Cobalt Strike. Yang berbeda kali ini adalah penggunaan MpCmdRun.exe untuk mencapai tujuan yang sama.
MpCmdRun.exe adalah alat baris perintah untuk menjalankan berbagai fungsi di Microsoft Defender Antivirus, antara lain memindai perangkat lunak berbahaya, mengumpulkan data diagnostik, dan memulihkan layanan ke versi sebelumnya.
Dalam insiden yang dianalisis oleh SentinelOne, akses awal diikuti dengan mengunduh muatan Cobalt Strike dari server jarak jauh, yang kemudian didekripsi dan dimuat menggunakan utilitas Windows Defender.
“Alat yang harus mendapat pengawasan cermat adalah apa pun yang telah dibuat pengecualian oleh organisasi atau perangkat lunak keamanan organisasi,” kata para peneliti.
“Produk seperti VMware dan Windows Defender memiliki prevalensi tinggi di perusahaan dan utilitas tinggi untuk pelaku ancaman jika mereka diizinkan untuk beroperasi di luar kontrol keamanan yang terpasang.”
Temuan ini muncul saat pialang akses awal (IAB) secara aktif menjual akses ke jaringan perusahaan, termasuk penyedia layanan terkelola (MSP), kepada sesama pelaku ancaman untuk mendapatkan keuntungan, yang pada gilirannya menawarkan cara untuk mengkompromikan pelanggan hilir.
Pada Mei 2022, otoritas keamanan siber dari Australia, Kanada, Selandia Baru, Inggris, dan AS memperingatkan serangan yang mempersenjatai penyedia layanan terkelola yang rentan (MSP) sebagai “vektor akses awal ke beberapa jaringan korban, dengan efek mengalir secara global.”
“MSP tetap menjadi target rantai pasokan yang menarik bagi penyerang, terutama IAB,” kata peneliti Huntress Harlan Carvey, mendesak perusahaan untuk mengamankan jaringan mereka dan menerapkan otentikasi multi-faktor (MFA).