هشدار مرکز افتا در مورد فعالیت دوباره باج‌افزار LockBit 3.0

به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کردند LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده می‌کند.

Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری داده‌ها استفاده می‌شود.

در این حملات، از طریق آسیب‌پذیری Log4j نفوذ اولیه به هدف مورد نظر در سرور VMWare Horizon که وصله نشده است، صورت می‌گیرد.

پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند چندین ابزار را به کار گیرند و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.

در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند.

مهاجمان با به‌کارگیری ابزار معتبر خط فرمان، کد بدافزاری، DLL مخرب و ابزار معتبر را از سرور کنترل و فرماندهی خود دانلود می‌کنند.

استفاده از ابزارها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزارهای کاربردی توسط مهاجمان سایبری، یکی از روش‌هایی است که مهاجمان برای مخفی ماندن از دید سیستم‌های امنیتی و ضدویروس‌های قدیمی و شناسایی نشدن به کار می‌گیرند. به این روش «کسب روزی از زمین» یا Living off the Land – به‌اختصار LotL – گفته می‌شود.

کارشناسان مرکز مدیریت راهبردی افتا تاکید می کنند استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چراکه به طور گسترده در سازمان‎‌ها به کار گرفته می‌شوند و از پتانسیل خوبی برای بهره‌جویی مهاجمان برخوردارند؛ در عین‌ حال راهبران امنیتی موظف‌اند وصله‌های منتشرشده را برای تمامی محصولات، به‌موقع به‌روزرسانی کنند.

راهبران امنیتی سازمان‌ها و دستگاه‌های دارای زیرساخت حیاتی کشور می‌توانند برای اطلاع از جزئیات فنی و نحوه عملکرد جدید باج‌افزار LockBit 3.0 به پایگاه اینترنتی مرکز مدیریت راهبردی افتا مراجعه کنند.