فعالیت دوباره باج‌افزار LockBit 3.0

به گزارش پایگاه خبری بانکداری الکترونیک و به نقل ازروابط عمومی مرکز مدیریت راهبردی افتا، پیش از این، محققان امنیتی، در فروردین 1401 اعلام کرده بودند که LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده می‌کند.
Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگی‌های گسترده‌ای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری داده‌ها استفاده می‌شود.
در این حملات، از طریق آسیب‌پذیری Log4j نفوذ اولیه به هدف موردنظر در سرور VMWare Horizon که وصله‌ نشده است، صورت می‌گیرد.
پس از نفوذ اولیه، مهاجمان با استفاده از فرمان‌هایی تلاش می‌کنند که چندین ابزار را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.
در این سری از حملات، به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده می‌شود که کد مخرب را رمزگشایی می‌کند.
کد بدافزاری، DLL مخرب و ابزار معتبر را، مهاجمان با به‌کارگیری ابزار معتبر خط فرمان، از سرور کنترل و فرماندهی خود دانلود می‌کنند.
استفاده از ابزارها و توابع عادی و سالم سیستم‌عامل و دیگر نرم‌افزارهای کاربردی توسط مهاجمان سایبری برای اهداف خرابکارانه خود بر روی سیستم قربانی، یکی از روش‌هایی است که مهاجمان برای مخفی ماندن از دید سیستم‌های امنیتی و ضدویروس‌های قدیمی و شناسایی نشدن به کار می‌گیرند. به این روش «کسب روزی از زمین» یا Living off the Land – به‌اختصار LotL – گفته می‌شود.
کارشناسان مرکز مدیریت راهبردی افتا تاکید می کنند که استفاده از محصولات معتبری همچون VMware و Windows Defender باید همواره با بررسی دقیق همراه باشد چرا که به طور گسترده در سازمان‎ها به کار گرفته می‌شوند و از پتانسیل خوبی برای بهره‌جویی مهاجمان برخوردارند، درعین‌حال راهبران امنیتی موظفند وصله‌های منتشر شده را برای تمامی محصولات، به موقع به‌روزرسانی کنند.

راهبران امنیتی سازمان‌ها و دستگاههای دارای زیر ساخت حیاتی کشور می‌توانند برای اطلاع از جزئیات فنی و نحوه عملکرد جدید باج افزار LockBit 3.0 به پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس : https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2169/ مراجعه کنند.