LockBit 3.0: Ransomware usa o Windows Defender para carregar o Cobalt Strike

Cibercriminosos associados à operação de Ransomware-as-a-Service (RaaS) LockBit 3.0 estão utilizando a ferramenta de linha de comando do Windows Defender para carregar beacons Cobalt Strike em sistemas comprometidos e evitar detecção.

O LockBit 3.0 (também conhecido como LockBit Black), que tem com o slogan "Make Ransomware Great Again!", é a nova versão da família LockBit RaaS.

Já o Cobalt Strike é uma ferramenta legítima de testes de penetração com vários recursos para realizar reconhecimento e movimento lateral oculto de rede antes de roubar dados e criptografá-los.

No entanto, as soluções de segurança tornaram-se melhores na detecção de beacons Cobalt Strike, fazendo com que os hackers procurem maneiras inovadoras de implementar a ferramenta.

VEJA TAMBÉM: Ransomware: Grupos de hackers trocam o Cobalt Strike pelo Brute Ratel

De acordo com o relatório publicado pela empresa SentinelOne, foi detectado um incidente que ocorreu após a obtenção de acesso inicial por meio da vulnerabilidade Log4Shell em um VMware Horizon Server sem patch. Os pesquisadores Julio Dantas, James Haughom, e Julien Reisdorffer afirmam:

Uma vez que o acesso inicial foi alcançado, os agentes de ameaças executaram uma série de comandos de enumeração e tentaram executar várias ferramentas de pós-exploração, incluindo Meterpreter, PowerShell Empire e uma nova maneira de carregar o Cobalt Strike.

Depois de estabelecer acesso a um sistema de destino e obter os privilégios de usuário necessários, os cibercriminosos usam o PowerShell para baixar três arquivos: uma cópia de um utilitário CL do Windows, um arquivo DLL e um arquivo LOG.

MpCmdRun.exe é um utilitário de linha de comando para executar tarefas do Microsoft Defender e oferece suporte a comandos para verificar malware, coletar informações, restaurar itens, executar rastreamento de diagnóstico e muito mais.

Quando executado, o MpCmdRun.exe carregará uma DLL legítima chamada “mpclient.dll”, necessária para que o programa funcione corretamente.

No caso analisado pelo SentinelLabs, os hackers criaram sua própria versão do mpclient.dll e a colocaram em um local que prioriza o carregamento do arquivo DLL malicioso.

O código executado carrega e descriptografa o Cobalt Strike do arquivo “c0000015.log”, descartado junto com os outros dois arquivos do estágio anterior do ataque.

VEJA TAMBÉM: NGFW: O que é o Next Generation Firewall?

Os pesquisadores alertam que "as ferramentas que devem receber uma análise cuidadosa são aquelas para as quais a organização ou o software de segurança da organização abriram exceções". Produtos como VMware e Windows Defender têm uma alta prevalência nas empresas e uma grande utilidade para hackers que desejam ter permissão para operar fora dos controles de segurança instalados.

Usar ferramentas de "living off the land” para evitar a detecção de EDR e AV é extremamente comum nos dias de hoje. Portanto, as organizações precisam verificar seus controles de segurança e rastrear o uso de executáveis legítimos que podem ser usados por invasores.

Fontes: The Hacker News e Bleeping Computer

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk