Οι εγκληματίες του κυβερνοχώρου έχουν χρησιμοποιήσει ένα κακόβουλο εργαλείο, το AuKill, για να θέσουν σε κίνδυνο οργανισμούς απενεργοποιώντας το λογισμικό Endpoint Detection & Response (EDR) στα συστήματα των θυμάτων τους και στη συνέχεια εισάγοντας backdoors και ransomware σε επιθέσεις με το Bring Your Own Vulnerable Driver (BYOVD).
Δείτε επίσης: Η Google διορθώνει ένα άλλο ενεργό exploit του Chrome zero-day
Σε αυτούς τους τύπους επιθέσεων, οι εγκληματίες αναπτύσσουν νόμιμους drivers που υπογράφονται ψηφιακά με ένα νόμιμο πιστοποιητικό και εκτελούνται στο πλαίσιο ασφαλείας του kernel. Αυτό τους επιτρέπει να απενεργοποιήσουν το υπάρχον λογισμικό προστασίας στις συσκευές των θυμάτων και να αποκτήσουν πλήρη έλεγχο του συστήματος.
Αυτή η στρατηγική έχει γίνει μια αγαπημένη τακτική για πολλούς κακόβουλους χάκερ, συμπεριλαμβανομένων των κρατικά υποστηριζόμενων επιχειρήσεων ηλεκτρονικού εγκλήματος και των δραστών ransomware με οικονομικά κίνητρα.
Δείτε επίσης: Microsoft Defender: Ενημέρωση προκαλεί χάος στο Windows Hardware Stack Protection
Το κακόβουλο λογισμικό AuKill, που εντοπίστηκε για πρώτη φορά από τους ερευνητές ασφαλείας του Sophos X-Ops, κάνει drop έναν ευάλωτο driver των Windows (procexp.sys) δίπλα σε αυτό που χρησιμοποιείται από τον Process Explorer v16.32 της Microsoft. Αυτό είναι ένα πολύ δημοφιλές και νόμιμο βοηθητικό πρόγραμμα που βοηθά στη συλλογή πληροφοριών σχετικά με τις ενεργές διαδικασίες των Windows.
Για να επιτύχετε ακόμη υψηλότερα επίπεδα πρόσβασης, το σύστημα καθορίζει πρώτα αν λειτουργεί με δικαιώματα SYSTEM. Εάν όχι, τότε θα γίνει προσωποποίηση της υπηρεσίας TrustedInstaller Windows Modules Installer προκειμένου να προχωρήσει σε δικαιώματα SYSTEM.
Για να απενεργοποιήσει το λογισμικό ασφαλείας, το AuKill ξεκινά πολλά threads για να διερευνά και να απενεργοποιεί συνεχώς τις διαδικασίες και τις υπηρεσίες ασφαλείας (και να διασφαλίζει ότι παραμένουν απενεργοποιημένες αποτρέποντας την επανεκκίνηση).
Το 2021, το AuKill έχει εντοπιστεί να χρησιμοποιείται για να μολύνει τα θύματα με τα ransomware Medusa Locker και LockBit. Αυτό το κακόβουλο λογισμικό έχει, μέχρι στιγμής, προκαλέσει τουλάχιστον τρία ξεχωριστά περιστατικά ασφαλείας.
Το AuKill είναι παρόμοιο με ένα εργαλείο ανοιχτού κώδικα που ονομάζεται Backstab, το οποίο χρησιμοποιεί έναν driver Process Explorer για να απενεργοποιήσει τις λύσεις ασφαλείας που εκτελούνται σε παραβιασμένες συσκευές.
Δείτε επίσης: Fortra: Δημοσιοποίησε επιθέσεις zero-day στο GoAnywhere MFT
Η συμμορία LockBit έχει χρησιμοποιήσει το Backstab σε τουλάχιστον μία από τις επιθέσεις της που παρατηρήθηκαν από τη Sophos X-Ops κατά την εξέταση της τελευταίας έκδοσης του κακόβουλου λογισμικού της εγκληματικής ομάδας, με τίτλο LockBit 3.0 ή “LockBit Black”.
«Βρήκαμε πολλές ομοιότητες μεταξύ του εργαλείου ανοιχτού κώδικα Backstab και του AuKill», είπαν οι ερευνητές.
«Ορισμένες από αυτές τις ομοιότητες περιλαμβάνουν παρόμοια, χαρακτηριστικά debug strings και σχεδόν πανομοιότυπη λογική ροής κώδικα για αλληλεπίδραση με τον driver.»
Το παλαιότερο γνωστό δείγμα AuKill συντάχθηκε τον Νοέμβριο του 2022, ενώ το πιο πρόσφατο δημιουργήθηκε μόλις πριν από λίγους μήνες και αναπτύχθηκε από την ομάδα LockBit ransomware για κακόβουλους σκοπούς.
Πηγή πληροφοριών: bleepingcomputer.com
