Ένας παράγοντας απειλής που σχετίζεται με τη λειτουργία ransomware LockBit 3.0 κάνει κατάχρηση του εργαλείου γραμμής εντολών του Windows Defender για να φορτώσει φάρους Cobalt Strike σε παραβιασμένα συστήματα και να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας.
Το Cobalt Strike είναι μια νόμιμη σουίτα δοκιμών διείσδυσης με εκτεταμένα χαρακτηριστικά δημοφιλή μεταξύ των φορέων απειλών για την εκτέλεση μυστικής αναγνώρισης δικτύου και πλευρική κίνηση πριν από την κλοπή δεδομένων και την κρυπτογράφηση τους.
Ωστόσο, οι λύσεις ασφαλείας έχουν γίνει καλύτερες στον εντοπισμό φάρων Cobalt Strike, αναγκάζοντας τους φορείς απειλών να αναζητήσουν καινοτόμους τρόπους για την ανάπτυξη της εργαλειοθήκης.
Σε μια πρόσφατη περίπτωση απόκρισης περιστατικού για επίθεση LockBit ransomware, ερευνητές στο Sentinel Labs παρατήρησαν την κατάχρηση του εργαλείου γραμμής εντολών του Microsoft Defender «MpCmdRun.exe» για την πλευρική φόρτωση κακόβουλων DLL που αποκρυπτογραφούν και εγκαθιστούν φάρους Cobalt Strike.
Ο αρχικός συμβιβασμός δικτύου και στις δύο περιπτώσεις πραγματοποιήθηκε με την εκμετάλλευση ενός ελαττώματος Log4j σε ευάλωτους διακομιστές VMWare Horizon για την εκτέλεση κώδικα PowerShell.
Η πλευρική φόρτωση των Beacons Cobalt Strike σε παραβιασμένα συστήματα δεν είναι καινούργια για το LockBit, καθώς υπάρχουν αναφορές για παρόμοιες αλυσίδες μόλυνσης που βασίζονται στην κατάχρηση των γραμμής εντολών VMware.