به گزارش کارگروه حملات سایبری سایبربان؛ یک بازیگر مخرب مرتبط با گروه باج افزاری لاک بیت 3.0 با سوء استفاده از ابزار خط فرمان ویندوز دیفندر اقدام به بارگذاری بیکن ها کوبالت استرایک بر روی سیستم نا ایمن و دور زدن فیلترهای شناسایی کرده اند.
اخیرا راهکارهای امنیتی، در بحث شناسایی بیکن های کوبالت استرایک بهتر عمل کرده اند و بازیگران مخرب نیز به همین دلیل به دنبال روش های نوآورانه برای استفاده از این مجموعه ابزار هستند.
محققین سِنتینِل لبز متوجه سوء استفاده از “MpCmdRun.exe” ، ابزار خط فرمان ویندوز دیفندر برای بارگذاری جانبی DLL های مخرب شده اند. این DLL ها بیکن های کوبالت استرایک را رمزگشایی و نصب می کنند.
در معرض خطر قرار دادن اولیه شبکه، از طریق بهره برداری از یک نقص امنیتی Log4j موجود بر روی سرورهای آسیب پذیر وی ام ویر هِرایزِن صورت پذیرفته است. هدف از این بهره برداری اجرای کد پاورشل می باشد.
بازیگر مخرب پس از دسترسی به سیستم هدف و قابلیت های کاربری مورد نیاز، با استفاده از پاورشل اقدام به دانلود سه فایل می کند:
- کپی بدون ایراد از یک ابزار خط فرمان ویدنوز
- یک فایل DLL
- یک فایل LOG
MpCmdRun.exe یک ابزار خط فرمان است که کارهای مایکروسافت دیفندر را انجام می دهد، فرمان های اسکن کننده بدافزار را پشتیبانی، اطلاعات را جمع آوری، آیتم ها را بایگانی و ردیابی تشخیصی را اجرا می کند.
هنگامی که این ابزار اجرا می شود، یک DLL به نام “mpclient.dll” را نیز بارگذاری می کند که برای کارکرد درست برنامه مورد نیاز است.
ظاهرا بازیگران مخرب نسخه آلوده جدیدی از mpclient.dll را برای خود ایجاد کرده اند و آن را در موقعیتی قرار داده اند که بارگذاری نسخه آلوده فایل DLL را دسته بندی می کند.
کد اجرا شده، پی لود رمزنگاری شده کوبالت استرایک از فایل “c0000015.log” را بارگذاری و رمزگشایی می کند. این فایل در کنار دو فایل دیگر در مراحل ابتدایی رها شده اند.
مشخص نیست شرکای لاک بیت به چه دلیلی از وی ام ویر به ابزار خط فرمان ویندوز دیفندر روی آورده اند. اما ممکن است این کار به دلیل افزایش محافظت های امنیتی روش های قبلی انجام شده باشد.
