Les acteurs de la menace utilisent un nouvel outil de piratage appelé AuKill pour désactiver le logiciel Endpoint Detection & Response (EDR) sur les systèmes des cibles avant de déployer des portes dérobées et des rançongiciels dans les attaques BYOVD (Bring Your Own Vulnerable Driver).
Dans de telles attaques, les acteurs malveillants déposent des pilotes légitimes signés avec un certificat valide et capables de s’exécuter avec les privilèges du noyau sur les appareils des victimes pour désactiver les solutions de sécurité et prendre le contrôle du système.
Cette technique est populaire parmi divers acteurs de la menace, des groupes de piratage soutenus par l’État aux gangs de rançongiciels à motivation financière.
Le malware AuKill, repéré pour la première fois par les chercheurs en sécurité de Sophos X-Ops, dépose un pilote Windows vulnérable (procexp.sys) à côté de celui utilisé par Microsoft Process Explorer v16.32. Il s’agit d’un utilitaire très populaire et légitime qui permet de collecter des informations sur les processus Windows actifs.
Pour élever les privilèges, il vérifie d’abord s’il est déjà en cours d’exécution avec les privilèges SYSTEM, et si ce n’est pas le cas, il emprunte l’identité du service TrustedInstaller Windows Modules Installer pour passer à SYSTEM.
Pour désactiver le logiciel de sécurité, AuKill démarre plusieurs threads pour sonder et désactiver en permanence les processus et services de sécurité (et s’assurer qu’ils restent désactivés en les empêchant de redémarrer).
Jusqu’à présent, plusieurs versions d’AuKill ont été observées dans la nature, certaines déployées dans au moins trois incidents distincts qui ont conduit à des infections de rançongiciels Medusa Locker et LockBit depuis le début de l’année.
« L’outil a été utilisé lors d’au moins trois incidents de ransomware depuis le début de 2023 pour saboter la protection de la cible et déployer le ransomware », a déclaré Sophos X-Ops.
« En janvier et février, les attaquants ont déployé le rançongiciel Medusa Locker après avoir utilisé l’outil ; en février, un attaquant a utilisé AuKill juste avant de déployer le rançongiciel Lockbit. »
AuKill est similaire à un outil open source appelé Backstab, qui utilise également un pilote Process Explorer pour désactiver les solutions de sécurité exécutées sur des appareils compromis.
Backstab a déjà été déployé par le gang LockBit dans au moins une attaque observée par Sophos X-Ops lors de l’analyse de la dernière version de malware du groupe de cybercriminalité, LockBit 3.0 ou LockBit Black.
« Nous avons trouvé de multiples similitudes entre l’outil open source Backstab et AuKill », ont déclaré les chercheurs.
« Certaines de ces similitudes incluent des chaînes de débogage similaires et caractéristiques et une logique de flux de code presque identique pour interagir avec le pilote. »
Le plus ancien échantillon AuKill a un horodatage de compilation de novembre 2022, tandis que le plus récent a été compilé à la mi-février lorsqu’il a également été utilisé dans le cadre d’une attaque liée au groupe de rançongiciels LockBit.