Tehdit aktörleri, kendi savunmasız sürücü (BYOVD) saldırılarınızı getirmede backdoors ve fidye yazılımlarını dağıtmadan önce hedeflerin sistemlerinde uç nokta algılama ve yanıt (EDR) yazılımını devre dışı bırakmak için Aukill olarak adlandırılan yeni bir hack aracı kullanıyor.
Bu tür saldırılarda, kötü niyetli aktörler, geçerli bir sertifika ile imzalanmış ve güvenlik çözümlerini devre dışı bırakmak ve sistemi devralmak için kurbanların cihazlarında çekirdek ayrıcalıklarıyla çalışabilen meşru sürücüleri bırakır.
Bu teknik, devlet destekli hack gruplarından finansal olarak motive edilen fidye yazılımı çetelerine kadar çeşitli tehdit aktörleri arasında popülerdir.
İlk olarak Sophos X-OPS güvenlik araştırmacıları tarafından tespit edilen Aukill kötü amaçlı yazılım, Microsoft'un Process Explorer v16.32 tarafından kullanılan savunmasız bir Windows sürücüsünü (Procexp.sys) bırakır. Bu, aktif Windows süreçleri hakkında bilgi toplamaya yardımcı olan çok popüler ve meşru bir yardımcı programdır.
Ayrıcalıkları artırmak için, öncelikle sistem ayrıcalıklarıyla çalışıp çalışmadığını kontrol eder ve eğer değilse, System'e yükselmek için TrustEDeDInstaller Windows modülleri yükleyici hizmetini taklit eder.
Güvenlik yazılımını devre dışı bırakmak için Aukill, güvenlik süreçlerini ve hizmetlerini sürekli araştırmak ve devre dışı bırakmak için birkaç iş parçacığı başlatır (ve yeniden başlatmalarını önleyerek devre dışı kaldıklarından emin olun).
Şimdiye kadar, vahşi doğada birden fazla Aukill versiyonu gözlendi, bazıları yılın başından beri Medusa Locker ve Lockbit Fidye yazılımı enfeksiyonlarına yol açan en az üç ayrı olayda konuşlandırıldı.
Sophos X-Ops, "Alet, 2023'ün başından beri hedefin korumasını sabote etmek ve fidye yazılımlarını dağıtmak için en az üç fidye yazılımı olayında kullanıldı." Dedi.
"Ocak ve Şubat aylarında, saldırganlar aracı kullandıktan sonra Medusa Locker Fidyeware'i konuşlandırdı; Şubat ayında, bir saldırgan Lockbit fidye yazılımını dağıtmadan önce Aukill'i kullandı."
Aukill, güvenliği ihlal edilmiş cihazlarda çalışan güvenlik çözümlerini devre dışı bırakmak için bir Process Gezgini sürücüsü kullanan Backstab adlı açık kaynaklı bir araca benzer.
Backstab daha önce Lockbit çetesi tarafından Sophos X-Ops tarafından gözlemlenen en az bir saldırıda, siber suç grubunun en son kötü amaçlı yazılım sürümü Lockbit 3.0 veya Lockbit Black'i analiz etti.
Araştırmacılar, "Açık kaynaklı araç Backstab ve Aukill arasında birçok benzerlik bulduk." Dedi.
"Bu benzerliklerden bazıları benzer, karakteristik hata ayıklama dizeleri ve sürücü ile etkileşim kurmak için neredeyse aynı kod akış mantığını içerir."
En eski Aukill örneği Kasım 2022 derleme zaman damgasına sahipken, en yenisi Şubat ayının ortalarında, Lockbit fidye yazılımı grubuna bağlı bir saldırının parçası olarak kullanıldığı zaman derlendi.
Ransomware'de Hafta - 21 Nisan 2023 - Crossheirs'teki Mac'ler
Lockbit Fidye Yazılımı şifrelemeleri Mac Cihazlarını Hedefleme Bulundu
Ransomware'de Hafta - 24 Mart 2023 - Clop aşırı yükü
Lockbit Fidye Yazılımı Çetesi artık City of Oakland Breach'i de iddia ediyor
LA Konut İdaresi Fidye Yazılımı saldırısından sonra veri ihlalini açıklar
Kaynak: Bleeping Computer