Seorang aktor jahat menggunakan jenis ransomware yang dikenal sebagai LockBit 3.0 untuk mengeksploitasi alat baris perintah Windows Defender. Payload Cobalt Strike Beacon sedang dikerahkan dalam proses.
Pengguna Windows Beresiko Terkena Serangan Ransomware
Perusahaan keamanan siber SentinelOne telah melaporkan aktor ancaman baru yang menggunakan LockBit 3.0 (juga dikenal sebagai LockBit Black) ransomware untuk menyalahgunakan file MpCmdRun.exe, utilitas baris perintah yang merupakan bagian integral dari Keamanan Windows sistem. MpCmdRun.exe dapat memindai malware, jadi tidak mengherankan jika menjadi sasaran serangan ini.
LockBit 3.0 adalah iterasi malware baru yang merupakan bagian dari LockBit yang terkenal ransomware-sebagai-layanan (RaaS) keluarga, yang menawarkan alat ransomware kepada pelanggan yang membayar.
LockBit 3.0 sedang digunakan untuk menyebarkan muatan Cobalt Strike pasca-eksploitasi, yang dapat menyebabkan pencurian data. Cobalt Strike juga dapat melewati deteksi perangkat lunak keamanan, sehingga memudahkan pelaku kejahatan untuk mengakses dan mengenkripsi informasi sensitif pada perangkat korban.
Dalam teknik pemuatan samping ini, utilitas Windows Defender juga ditipu untuk memprioritaskan dan memuat file berbahaya DLL (perpustakaan tautan dinamis), yang kemudian dapat mendekripsi payload Cobalt Strike melalui file .log.
LockBit Telah Digunakan untuk Menyalahgunakan Baris Perintah VMWare
Di masa lalu, aktor LockBit 3.0 juga ditemukan telah mengeksploitasi file eksekusi baris perintah VMWare, yang dikenal sebagai VMwareXferlogs.exe, untuk menyebarkan suar Cobalt Strike. Dalam teknik pemuatan samping DLL ini, penyerang mengeksploitasi kerentanan Log4Shell dan menipu utilitas VMWare untuk memuat DLL berbahaya alih-alih DLL asli yang tidak berbahaya.
Juga tidak diketahui mengapa pihak jahat mulai mengeksploitasi Windows Defender alih-alih VMWare pada saat penulisan.
SentinelOne Melaporkan Bahwa VMWare dan Windows Defender Berisiko Tinggi
Di Postingan blog SentinelOne pada serangan LockBit 3.0, dinyatakan bahwa "VMware dan Windows Defender memiliki prevalensi tinggi di perusahaan dan utilitas tinggi untuk pelaku ancaman jika mereka diizinkan untuk beroperasi di luar keamanan yang terpasang kontrol".
Serangan seperti ini, di mana langkah-langkah keamanan dihindari, menjadi semakin umum, dengan VMWare dan Windows Defender telah menjadi target utama dalam usaha tersebut.
Serangan LockBit Tidak Menunjukkan Tanda-tanda Berhenti
Meskipun gelombang serangan baru ini telah diakui oleh berbagai perusahaan keamanan siber, yang tinggal di luar negeri teknik masih terus digunakan untuk mengeksploitasi alat utilitas dan menyebarkan file berbahaya untuk data pencurian. Tidak diketahui apakah lebih banyak alat utilitas akan disalahgunakan di masa depan menggunakan LockBit 3.0, atau iterasi lain dari keluarga LockBit RaaS.
