AuKill malware
Az elmúlt hónapok során a Sophos X-Ops több olyan incidenst is kivizsgált, amelyek során a támadók megpróbálták letiltani az EDR-klienseket egy új, AuKill-nek nevezett védelmi kijátszási eszközzel. Az AuKill eszköz visszaél a Microsoft segédprogram, a Process Explorer 16.32-es verziója által használt illesztőprogram egy elavult verziójával, hogy letiltja az EDR-folyamatokat, mielőtt egy hátsó ajtót vagy zsarolóprogramot telepítene a célrendszerre. Az eszközt 2023 eleje óta legalább három zsarolóvírus-incidens során használták a célpont védelmének szabotálására és a zsarolóprogramok telepítésére.
Elemzések és fenyegetésvadászat révén a Sophos az AuKill malware hat különböző változatát gyűjtötte össze. Számos hasonlóságot találtunk a nyílt forráskódú Backstab és az AuKill eszköz között. E hasonlóságok némelyike hasonló, jellegzetes hibakereső karakterláncokat tartalmaz, és közel azonos kódfolyam-logikát az illesztőprogrammal való interakcióhoz. A Sophos úgy véli, hogy az AuKill szerzője több kódrészletet használt fel, és a rosszindulatú programokat a Backstab által bevezetett alapvető technika köré építette.