يتم استخدام نوع من برامج الفدية المعروفة باسم “LockBit 3.0” لنشر حمولات Cobalt Strike عبر أداة سطر أوامر Windows Defender.

يستخدم ممثل ضار سلسلة من برامج الفدية المعروفة باسم LockBit 3.0 لاستغلال أداة سطر أوامر Windows Defender. يجري نشر حمولات Cobalt Strike Beacon في هذه العملية.

مستخدمو Windows معرضون لخطر هجمات برامج الفدية

أبلغت شركة الأمن السيبراني SentinelOne عن وجود ممثل تهديد جديد يستخدم برنامج الفدية LockBit 3.0 (المعروف أيضًا باسم LockBit Black) لإساءة استخدام ملف MpCmdRun.exe، وهو أداة مساعدة لسطر الأوامر تشكل جزءًا لا يتجزأ من نظام أمان Windows. يمكن لـ MpCmdRun.exe البحث عن البرامج الضارة، لذا فليس من المستغرب أن يتم استهدافه في هذا الهجوم.

LockBit 3.0 هو تكرار جديد للبرامج الضارة يشكل جزءًا من عائلة LockBit ransomware-as-a-service (RaaS) المعروفة، والتي تقدم أدوات رانسوم وير للعملاء الذين يدفعون الثمن.

يتم استخدام LockBit 3.0 لنشر حمولات Cobalt Strike بعد الاستغلال، والتي يمكن أن تؤدي إلى سرقة البيانات. يمكن لـ Cobalt Strike أيضًا تجاوز اكتشاف برامج الأمان، مما يسهل على الفاعل الخبيث الوصول إلى المعلومات الحساسة على جهاز الضحية وتشفيرها.

في تقنية التحميل الجانبي هذه، يتم خداع الأداة المساعدة لـ Windows Defender لتحديد أولويات وتحميل مكتبة الارتباط الديناميكي (DLL) الضارة، والتي يمكنها بعد ذلك فك تشفير حمولة Cobalt Strike عبر ملف log.

تم استخدام LockBit بالفعل لإساءة استخدام سطر أوامر برنامج VMWare

في الماضي، تم اكتشاف أن الجهات الفاعلة في LockBit 3.0 قد استغلت ملف تنفيذي لسطر أوامر VMWare، يُعرف باسم VMwareXferlogs.exe، لنشر منارات Cobalt Strike. في تقنية التحميل الجانبي لـ DLL، استغل المهاجم الثغرة الأمنية Log4Shell وخدع الأداة المساعدة VMWare لتحميل DLL ضار بدلاً من DLL الأصلي غير المؤذي.

رسم للكمبيوتر المحمول المقفل بجوار علم الجمجمة

كما أنه من غير المعروف سبب بدء الطرف الخبيث في استغلال Windows Defender بدلاً من برنامج VMWare في وقت كتابة هذا التقرير.

تفيد تقارير SentinelOne أن برنامج VMWare و Windows Defender عالي المخاطر

في منشور مدونة SentinelOne حول هجمات LockBit 3.0، ذكر أن “برنامج VMware و Windows Defender لهما نسبة انتشار مرتفعة في المؤسسة وأداة مساعدة مرتفعة لممثلي التهديد إذا سُمح لهم بالعمل خارج عناصر التحكم الأمنية المثبتة”.

أصبحت الهجمات من هذا النوع، حيث يتم التهرب من الإجراءات الأمنية، شائعة بشكل متزايد، حيث تم جعل VMWare و Windows Defender أهدافًا رئيسية في مثل هذه المشاريع.

لا تظهر هجمات LockBit أي علامات على التوقف

على الرغم من التعرف على هذه الموجة الجديدة من الهجمات من قبل العديد من شركات الأمن السيبراني، ولكن تقنيات العيش خارج الأرض لا تزال تُستخدم باستمرار لاستغلال الأدوات المساعدة ونشر الملفات الضارة لسرقة البيانات. ومن غير المعروف ما إذا كان سيتم إساءة استخدام المزيد من الأدوات المساعدة في المستقبل باستخدام LockBit 3.0، أو أي تكرار آخر لعائلة LockBit RaaS.