Uma investigação da Sentinel One revelou que operadores de ameaças estão explorando uma ferramenta de linha de comando do Windows Defender para descriptografar e carregar cargas úteis do Cobalt Strike, ferramenta comercial de pen-testing (segurança ofensiva) que é amplamente utilizada por cibercriminosos.
Os especialistas em segurança cibernética detalharam suas descobertas em um comunicado na semana passada, no qual disseram que hackers conseguiram realizar ataques contra um VMware Horizon Server sem patches após obterem acesso inicial por meio da vulnerabilidade Log4Shell.
Os invasores modificaram o componente Blast Secure Gateway do aplicativo instalando um shell da web usando o código do PowerShell. “Uma vez que o acesso inicial foi alcançado, os operadores de ameaças executaram uma série de comandos de enumeração e tentaram executar várias ferramentas de pós-exploração”, escreveu a equipe do Sentinel One.
Estes supostamente incluíam o Meterpreter, o PowerShell Empire e uma nova maneira de carregar o Cobalt Strike. De acordo com os pesquisadores de segurança, os operadores de ameaças baixaram uma DLL maliciosa, a carga útil criptografada e a ferramenta legítima, tudo de seu servidor de comando e controle (C&C).
“Os profissionais de segurança precisam estar alertas para o fato de que os operadores e afiliados do ransomware LockBit estão explorando novas técnicas de ataque ‘living off the land’ [LotL, ou viver da terra, em tradução livre] para ajudá-los a carregar beacons Cobalt Strike e evitar algumas ferramentas comuns de detecção e resposta de endpoint [EDR) e antivírus tradicionais”, escreveu a Sentinel One.
Veja isso
Versão 3.0 do LockBit o torna mais perigoso e devastador
Servidores Microsoft SQL estão vulneráveis ao Cobalt Strike
Consequentemente, os pesquisadores de segurança alertaram que as organizações devem examinar cuidadosamente quaisquer ferramentas para as quais a organização ou o software de segurança da organização tenha feito exceções. “Produtos como VMware e Windows Defender têm uma alta predominância na empresa e uma grande utilidade para os agentes de ameaças se tiverem permissão para operar fora dos controles de segurança instalados”, escreveu a Sentinel One.
Para contextualizar, o LockBit 3.0 é a mais recente iteração da prolífica família de ransomware-as-a-service (RaaS), que recentemente intensificou os ataques a duas entidades do setor público. De forma mais geral, o RaaS cresceu consideravelmente desde o início da pandemia de covid-19, principalmente devido à mudança para o trabalho remoto e à consequente falta de segurança das redes domésticas e VPNs mal configuradas.