新款AuKill黑客工具在威胁行为者中受到关注 媒体
新型黑客工具AuKill被勒索病毒和国家赞助的威胁团体广泛利用
关键要点
AuKill工具被勒索病毒团伙和国家赞助的攻击者用来禁用目标的终端检测与响应软件。此工具依赖于易受攻击的Windows进程探查器驱动程序procexpsys来提升权限。AuKill能够启动多个线程以禁用安全软件,并且在2023年的至少三起勒索事件中被使用。随着更多的勒索病毒活动和国家支持的威胁团体不断演变,新的AuKill黑客工具被用于在部署后门之前,先禁用目标的终端检测与响应软件,相关信息由 BleepingComputer 报道。根据Sophos XOps的报告,AuKill在部署一个名为“procexpsys”的易受攻击的Windows进程探查器驱动后,接着伪装成受信任的安装器Windows模块安装服务以提升权限。此外,AuKill能够启动多个线程来禁用安全软件。
猎豹加速器手机版事件时间工具使用的勒索软件2023年1月和2月AuKillMedusa Locker2023年2月AuKillLockBitSophos XOps还指出,自2023年初以来,该工具至少在三起勒索事件中被使用,以破坏目标的保护措施并部署勒索软件。“在1月和2月,攻击者使用该工具后再次部署Medusa Locker勒索软件;在2月,有攻击者在部署Lockbit勒索软件之前使用了AuKill,”Sophos XOps提到,并指出了AuKill与开源工具Backstab之间的相似性。
备注 使用这种工具的攻击者在攻击过程中会对目标的安全保护实施高效的破坏。确保系统的安全性和及时更新安全软件是防止此类攻击的重要措施。
