นักวิจัยด้านความปลอดภัยจาก Sophos X-Ops เปิดเผยการพบกลุ่ม Ransomware ใช้ hacking tool ตัวใหม่ในชื่อ AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) บนระบบของเป้าหมาย ก่อนที่จะติดตั้งแบ็คดอร์ และแรนซัมแวร์ในการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD)
โดยในการโจมตี Hacker จะใช้ไดรเวอร์ที่ถูกรับรอง และสามารถทำงานด้วยสิทธิ์ kernel บนอุปกรณ์ เพื่อปิดใช้งานอุปกรณ์ป้องกันด้านความปลอดภัย และเข้าควบคุมระบบ ซึ่งเทคนิคดังกล่าวเป็นที่นิยมใช้ในการโจมตีของกลุ่ม Hacker ต่าง ๆ ทั้งกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลอยู่เบื้องหลัง และกลุ่มที่มีเป้าหมายในการเรียกค่าไถ่
AuKill malware
นักวิจัยพบการใช้งานไดรเวอร์ Windows ที่มีช่องโหว่ (procexp.sys) หลังจากการเรียกใช้ Process Explorer v16.32 ของ Microsoft ซึ่งเป็นไดรเวอร์ที่ใช้รวบรวมข้อมูลเกี่ยวกับ Process บน Windows ที่ใช้งานอยู่
ต่อมาก็จะทำการเพิ่มสิทธิของตนเองโดยการตรวจสอบว่าทำงานโดยใช้สิทธิ์ SYSTEM อยู่แล้วหรือไม่ และถ้าไม่ใช่ จะแอบอ้างเป็นบริการ TrustedInstaller Windows Modules Installer เพื่อยกระดับเป็น SYSTEM
หลังจากนั้นก็จะทำการไล่ปิดการใช้งานซอฟต์แวร์ความปลอดภัย ซึ่งจะดำเนินการอย่างต่อเนื่อง และตรวจสอบให้แน่ใจว่ายังคงปิดการใช้งานอยู่โดยป้องกันไม่ให้เครื่องเป้าหมายทำการรีสตาร์ท
Sophos X-Ops พบการโจมตีที่ใช้ AuKill malware ตั้งแต่ต้นปี 2023 อย่างน้อย 3 ครั้ง โดยพบว่าการโจมตีดังกล่าวเกี่ยวข้องกับกลุ่ม Medusa Locker และ LockBit 3.0 นอกจากนี้ยังพบว่า AuKill มีความคล้ายกับ Backstab ซึ่งเป็น hacking tool ที่ถูกใช้โดยกลุ่ม LockBit 3.0 หรือ LockBit Black อีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.