Los ciberdelincuentes asociados con la operación LockBit 3.0 Ransomware-as-a-Service (RaaS) están utilizando la herramienta de línea de comandos de Windows Defender para cargar balizas Cobalt Strike en sistemas comprometidos y evadir la detección.
LockBit 3.0 (también conocido como LockBit Black), que tiene el eslogan "¡Haz que el ransomware vuelva a ser grandioso!", es la nueva versión de la familia LockBit RaaS.
Cobalt Strike es una herramienta de prueba de penetración legítima con muchas funciones para realizar el reconocimiento de la red y el movimiento lateral oculto antes de robar datos y cifrarlos.
Sin embargo, las soluciones de seguridad han mejorado en la detección de balizas Cobalt Strike, lo que hace que los piratas informáticos busquen formas innovadoras de implementar la herramienta.
Según el informe publicado por la empresa SentinelOne, se detectó un incidente que se produjo tras obtener acceso inicial a través de la vulnerabilidad Log4Shell en un VMware Horizon Server sin parchear. Los investigadores Julio Dantas, James Haughom y Julien Reisdorffer afirman:
Una vez que se logró el acceso inicial, los actores de amenazas ejecutaron una serie de comandos de enumeración e intentaron ejecutar varias herramientas posteriores a la explotación, incluidas Meterpreter, PowerShell Empire y una nueva forma de cargar Cobalt Strike.
Después de establecer el acceso a un sistema de destino y obtener los privilegios de usuario necesarios, los ciberdelincuentes usan PowerShell para descargar tres archivos: una copia de una utilidad CL de Windows, un archivo DLL y un archivo LOG.
MpCmdRun.exe es una utilidad de línea de comandos para ejecutar tareas de Microsoft Defender y admite comandos para buscar malware, recopilar información, restaurar elementos, ejecutar seguimiento de diagnóstico y más.
Cuando se ejecuta, MpCmdRun.exe cargará una DLL legítima llamada “mpclient.dll”, necesaria para que el programa funcione correctamente.
En el caso revisado por SentinelLabs, los piratas informáticos crearon su propia versión de mpclient.dll y la colocaron en una ubicación que prioriza la carga del archivo DLL malicioso.
El código ejecutado carga y descifra Cobalt Strike del archivo “c0000015.log”, descartado junto con los otros dos archivos de la etapa anterior del ataque.
VEA TAMBIEN: NGFW: ¿Qué es el Next Generation Firewall?
Los investigadores advierten que "las herramientas que deben recibir un escrutinio cuidadoso son aquellas para las que la organización o el software de seguridad de la organización ha hecho excepciones". Productos como VMware y Windows Defender tienen una alta prevalencia en las empresas y son de gran utilidad para los piratas informáticos que desean operar fuera de los controles de seguridad establecidos.
El uso de herramientas de "living off the land" para evitar la detección de EDR y AV es extremadamente común en estos días, por lo que las organizaciones deben verificar sus controles de seguridad y rastrear el uso de ejecutables legítimos que podrían ser utilizados por los atacantes.
Fuentes: The Hacker News y Bleeping Computer
Cuente con International IT para proteger a su empresa de ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoreo de Red, Transferencia de Archivos Gerenciados, Consultoria de TIC, Entrenamentos, Soporte de Aplicaciones, Outsourcing, Licencias Generales e Help Desk.
