एक दुर्भावनापूर्ण अभिनेता विंडोज डिफेंडर कमांड लाइन टूल का फायदा उठाने के लिए लॉकबिट 3.0 नामक रैंसमवेयर के एक स्ट्रेन का उपयोग कर रहा है। इस प्रक्रिया में कोबाल्ट स्ट्राइक बीकन पेलोड तैनात किए जा रहे हैं।

विंडोज यूजर्स को रैंसमवेयर अटैक का खतरा

साइबर सुरक्षा फर्म सेंटिनलऑन ने एक नए खतरे वाले अभिनेता की सूचना दी है जो लॉकबिट 3.0 (जिसे लॉकबिट ब्लैक के रूप में भी जाना जाता है) का उपयोग कर रहा है। MpCmdRun.exe फ़ाइल का दुरुपयोग करने के लिए रैंसमवेयर, एक कमांड लाइन उपयोगिता जो विंडोज सुरक्षा का एक अभिन्न अंग बनाती है व्यवस्था। MpCmdRun.exe मैलवेयर के लिए स्कैन कर सकता है, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि इसे इस हमले में लक्षित किया जा रहा है।

लॉकबिट 3.0 एक नया मैलवेयर पुनरावृत्ति है जो प्रसिद्ध लॉकबिट का हिस्सा है रैंसमवेयर-ए-ए-सर्विस (रास) परिवार, जो भुगतान करने वाले ग्राहकों को रैंसमवेयर टूल प्रदान करता है।

लॉकबिट 3.0 का उपयोग शोषण के बाद कोबाल्ट स्ट्राइक पेलोड को तैनात करने के लिए किया जा रहा है, जिससे डेटा चोरी हो सकती है। कोबाल्ट स्ट्राइक सुरक्षा सॉफ़्टवेयर डिटेक्शन को भी बायपास कर सकता है, जिससे दुर्भावनापूर्ण अभिनेता के लिए पीड़ित के डिवाइस पर संवेदनशील जानकारी तक पहुंच और एन्क्रिप्ट करना आसान हो जाता है।

instagram viewer

इस साइड-लोडिंग तकनीक में, विंडोज डिफेंडर उपयोगिता को भी धोखा दिया जा रहा है ताकि किसी दुर्भावनापूर्ण को प्राथमिकता दी जा सके और लोड किया जा सके डीएलएल (डायनेमिक-लिंक लाइब्रेरी), जो तब कोबाल्ट स्ट्राइक पेलोड को .log फ़ाइल के माध्यम से डिक्रिप्ट कर सकता है।

लॉकबिट पहले से ही VMWare कमांड लाइन का दुरुपयोग करने के लिए इस्तेमाल किया जा चुका है

अतीत में, लॉकबिट 3.0 अभिनेताओं को कोबाल्ट स्ट्राइक बीकन को तैनात करने के लिए VMWare कमांड लाइन निष्पादन योग्य फ़ाइल, जिसे VMwareXferlogs.exe के रूप में जाना जाता है, का शोषण करते पाया गया था। इस DLL साइड-लोडिंग तकनीक में, हमलावर ने Log4Shell भेद्यता का फायदा उठाया और VMWare उपयोगिता को मूल, हानिरहित DLL के बजाय एक दुर्भावनापूर्ण DLL लोड करने के लिए धोखा दिया।

यह भी ज्ञात नहीं है कि दुर्भावनापूर्ण पार्टी ने लेखन के समय वीएमवेयर के बजाय विंडोज डिफेंडर का शोषण क्यों शुरू कर दिया है।

SentinelOne की रिपोर्ट है कि VMWare और Windows डिफेंडर उच्च जोखिम वाले हैं

में SentinelOne का ब्लॉग पोस्ट लॉकबिट 3.0 हमलों पर, यह कहा गया था कि "वीएमवेयर और विंडोज डिफेंडर का उच्च प्रसार है उद्यम और अभिनेताओं को धमकी देने के लिए एक उच्च उपयोगिता अगर उन्हें स्थापित सुरक्षा के बाहर काम करने की अनुमति है नियंत्रण"।

इस प्रकार के हमले, जिनमें सुरक्षा उपायों से बचा जाता है, तेजी से सामान्य होते जा रहे हैं, ऐसे उपक्रमों में वीएमवेयर और विंडोज डिफेंडर को प्रमुख लक्ष्य बनाया गया है।

लॉकबिट अटैक रुकने के कोई संकेत नहीं दिखाता

हालांकि हमलों की इस नई लहर को विभिन्न साइबर सुरक्षा कंपनियों द्वारा मान्यता दी गई है, जो जमीन से दूर रहते हैं उपयोगिता उपकरणों का दोहन करने और डेटा के लिए दुर्भावनापूर्ण फ़ाइलों को परिनियोजित करने के लिए तकनीकों का अभी भी लगातार उपयोग किया जा रहा है चोरी। यह ज्ञात नहीं है कि लॉकबिट 3.0, या लॉकबिट रास परिवार के किसी अन्य पुनरावृत्ति का उपयोग करके भविष्य में और भी अधिक उपयोगिता उपकरण का दुरुपयोग किया जाएगा या नहीं।