Theo đó, các chuyên gia an ninh mạng từ Sophos X-Ops gần đây đã quan sát thấy các tác nhân đe dọa đang sử dụng phương pháp Bring Your Own Vulnerable Driver (BYOVD) để triển khai một công cụ có tên AuKill, có khả năng vô hiệu hóa các chương trình bảo mật đang được cài đặt trên thiết bị của nạn nhân.
Bước đầu tiên trong phương pháp BYOVD, tin tặc sẽ tìm cách cài cắm trình điều khiển hợp pháp nhưng tồn tại lỗ hổng dễ bị tấn công vào thiết bị đầu cuối của nạn nhân. Việc này thường được thực hiện thông qua các cuộc tấn công và phát tán trình điều khiển qua email lừa đảo.
Các trình điều khiển độc hại thường có khả năng chạy với các đặc quyền của hệ thống, được gọi là procexp.sys và được phân phối cùng với trình điều khiển hợp pháp, được sử dụng bằng Process Explorer v16.32 của Microsoft (một chương trình quản lý và thu thập dữ liệu trên các tiến trình Windows đang hoạt động).
Sau khi tệp DLL độc hại được thực thi, việc đầu tiên là nó sẽ tự kiểm tra xem bản thân có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, những kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo của Sophos X-Ops, tin tặc đôi lúc sẽ triển khai cả Medusa Locker hoặc LockBit - cả hai biến thể ransomware cực kỳ mạnh và phổ biến hiện nay.
Mặc dù công cụ này có vẻ ít được biết đến và chỉ mới được phát hiện, nhưng một trong các biến thể của nó cho thấy đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của nó tương tự như mã của công cụ mã nguồn mở Backstab cũng có khả năng vô hiệu hóa các chương trình chống virus. Những kẻ tấn công LockBit cũng từng triển khai Backstab trong quá khứ.
Nguyễn Chân
14:00 | 13/02/2023
14:00 | 19/05/2023
15:00 | 21/10/2019
09:00 | 07/06/2023
14:59 | 22/05/2017
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024