Un acteur menaçant associé à l’opération LockBit 3.0 ransomware-as-a-service (RaaS) a été observé en train d’abuser de l’outil de ligne de commande Windows Defender pour déchiffrer et charger les charges utiles Cobalt Strike. Selon un rapport publié par SentinelOne la semaine dernière, l’incident s’est produit après l’obtention d’un accès initial via la vulnérabilité Log4Shell contre un serveur VMware Horizon non corrigé. « Une fois l’accès initial obtenu, les acteurs de la menace ont exécuté une série de commandes d’énumération et tenté d’exécuter plusieurs outils de post-exploitation, notamment Meterpreter, PowerShell Empire et une nouvelle façon de charger Cobalt Strike », ont déclaré les chercheurs Julio Dantas, James Haughom, et Julien Reisdorffer ont dit. LockBit 3.0 (alias LockBit Black), qui vient avec le slogan « Make Ransomware Great Again! », est la prochaine itération de la prolifique famille LockBit RaaS qui a émergé en juin 2022 pour aplanir les faiblesses critiques découvertes dans son prédécesseur. Il est remarquable d’avoir institué la toute première prime de bogue pour un programme RaaS. En plus de proposer un site de fuite remanié pour nommer et humilier les cibles non conformes et publier les données extraites, il comprend également un nouvel outil de recherche pour faciliter la recherche de données spécifiques sur les victimes.

L’utilisation de techniques de vie hors de la terre (LotL) par des cyber-intrus, dans lesquelles des logiciels et des fonctions légitimes disponibles dans le système sont utilisés pour la post-exploitation, n’est pas nouvelle et est généralement considérée comme une tentative d’échapper à la détection par un logiciel de sécurité . Plus tôt en avril, il a été découvert qu’une filiale de LockBit avait utilisé un utilitaire de ligne de commande VMware appelé VMwareXferlogs.exe pour supprimer Cobalt Strike. Ce qui est différent cette fois-ci, c’est l’utilisation de MpCmdRun.exe pour atteindre le même objectif. MpCmdRun.exe est un outil de ligne de commande permettant d’exécuter diverses fonctions dans Microsoft Defender Antivirus, notamment la recherche de logiciels malveillants, la collecte de données de diagnostic et la restauration du service à une version précédente, entre autres. Dans l’incident analysé par SentinelOne, l’accès initial a été suivi du téléchargement d’une charge utile Cobalt Strike à partir d’un serveur distant, qui a ensuite été déchiffrée et chargée à l’aide de l’utilitaire Windows Defender. « Les outils qui devraient faire l’objet d’un examen minutieux sont ceux pour lesquels l’organisation ou le logiciel de sécurité de l’organisation ont fait des exceptions », ont déclaré les chercheurs. « Des produits comme VMware et Windows Defender ont une forte prévalence dans l’entreprise et une grande utilité pour les acteurs de la menace s’ils sont autorisés à opérer en dehors des contrôles de sécurité installés. » Les découvertes surviennent alors que les courtiers d’accès initiaux (IAB) vendent activement l’accès aux réseaux d’entreprise, y compris les fournisseurs de services gérés (MSP), à d’autres acteurs de la menace à des fins lucratives, offrant à leur tour un moyen de compromettre les clients en aval. En mai 2022, les autorités de cybersécurité d’Australie, du Canada, de Nouvelle-Zélande, du Royaume-Uni et des États-Unis ont mis en garde contre les attaques militarisant les fournisseurs de services gérés (MSP) vulnérables en tant que « vecteur d’accès initial à plusieurs réseaux de victimes, avec des effets en cascade à l’échelle mondiale ». « Les MSP restent une cible attrayante de la chaîne d’approvisionnement pour les attaquants, en particulier les IAB », a déclaré Harlan Carvey, chercheur chez Huntress, exhortant les entreprises à sécuriser leurs réseaux et à mettre en œuvre l’authentification multifacteur (MFA).