Pelaku ancaman menggunakan alat peretasan baru yang dijuluki AuKill untuk menonaktifkan Perangkat Lunak Endpoint Detection & Response (EDR) pada sistem target sebelum menggunakan pintu belakang dan ransomware dalam serangan Bring Your Own Rentan Driver (BYOVD).
Dalam serangan seperti itu, pelaku jahat menjatuhkan driver sah yang ditandatangani dengan sertifikat yang valid dan mampu berjalan dengan hak istimewa kernel pada perangkat korban untuk menonaktifkan solusi keamanan dan mengambil alih sistem.
Teknik ini populer di kalangan berbagai pelaku ancaman, mulai dari kelompok peretas yang didukung negara untuk termotivasi secara finansial geng ransomware.
Malware AuKill, pertama kali ditemukan oleh peneliti keamanan Sophos X-Ops, menjatuhkan driver Windows yang rentan (procexp.sys) di sebelah yang digunakan oleh Microsoft Process Explorer v16.32. Ini adalah utilitas yang sangat populer dan sah yang membantu mengumpulkan informasi tentang proses aktif Windows.
Untuk meningkatkan hak istimewa, pertama-tama memeriksa apakah sudah berjalan dengan hak istimewa SISTEM, dan jika tidak, itu meniru layanan Pemasang Modul Windows TrustedInstaller untuk meningkat ke SISTEM.
Untuk menonaktifkan perangkat lunak keamanan, AuKill memulai beberapa utas untuk terus menyelidiki dan menonaktifkan proses dan layanan keamanan (dan memastikannya tetap dinonaktifkan dengan mencegahnya dimulai ulang).
Sejauh ini, beberapa versi AuKill telah diamati di alam liar, beberapa digunakan dalam setidaknya tiga insiden terpisah yang telah menyebabkan infeksi ransomware Medusa Locker dan LockBit sejak awal tahun.
“Alat ini digunakan selama setidaknya tiga insiden ransomware sejak awal 2023 untuk menyabotase perlindungan target dan menyebarkan ransomware,” Sophos X-Ops dikatakan.
“Pada bulan Januari dan Februari, penyerang menyebarkan ransomware Medusa Locker setelah menggunakan alat tersebut; pada bulan Februari, penyerang menggunakan AuKill sesaat sebelum menyebarkan ransomware Lockbit.”
AuKill mirip dengan alat sumber terbuka bernama Menikam dari belakangyang juga menggunakan driver Process Explorer untuk menonaktifkan solusi keamanan yang berjalan pada perangkat yang disusupi.
Backstab sebelumnya dikerahkan oleh geng LockBit dalam setidaknya satu serangan yang diamati oleh Sophos X-Ops saat menganalisis versi malware terbaru grup kejahatan dunia maya, LockBit 3.0 atau LockBit Black.
“Kami telah menemukan banyak kesamaan antara alat sumber terbuka Backstab dan AuKill,” kata para peneliti.
“Beberapa kesamaan ini termasuk string debug karakteristik yang serupa, dan logika aliran kode yang hampir identik untuk berinteraksi dengan driver.”
Sampel AuKill tertua memiliki stempel waktu kompilasi November 2022, sedangkan yang terbaru dikompilasi pada pertengahan Februari ketika sampel itu juga digunakan sebagai bagian dari serangan yang terkait dengan grup ransomware LockBit.
