Ultimamente il malware Lockbit sta ricevendo sempre più attenzioni.
La scorsa settimana SentinelLabs ha divulgato lo studio su LockBit 3.0 (alias LockBit Black), evidenziando come l’ultima iterazione di questo RaaS sempre più diffuso abbia implementato una serie di routine anti-analisi e anti-debug.
Già in aprile LockBit ha attirato l’attenzione di SentinelLabs, che hanno iniziato a studiare un affiliato del malware che stava sfruttando l’utilità legittima della riga di comando di VMware, VMwareXferlogs.exe, facendo da sideload a Cobalt Strike.
Ad oggi SentinelLabs sta proseguendo quella ricerca descrivendo l’uso di un altro strumento legittimo utilizzato per un effetto simile da un operatore o affiliato di LockBit che risulta appartenere a Windows Defender. Durante una recente indagine, è stato scoperto che stavano abusando dello strumento a riga di comando MpCmdRun.exe di Windows Defender per decrittografare e caricare i payload di Cobalt Strike
Per saperne di più puoi trovare il link all’articolo: Living Off Windows Defender | LockBit Ransomware Sideloads Cobalt Strike Through Microsoft Security Tool .
