البرامج الضارة GhostEngine
تم اكتشاف حملة هجوم تعدين عملات مشفرة تحمل الاسم الرمزي REF4578 وهي تنشر حمولة تهديدية تسمى GhostEngine. البرمجيات الخبيثة قادرة على استغلال برامج التشغيل الضعيفة لإيقاف تشغيل المنتجات الأمنية ونشر عامل منجم XMRig . وقد أكد الباحثون على التطور غير العادي لهجمات تعدين العملات المشفرة هذه من خلال إصدار تقارير مع النتائج التي توصلوا إليها. ومع ذلك، حتى الآن، لم ينسب الخبراء النشاط إلى أي جهات تهديد معروفة ولم يكشفوا عن أي تفاصيل حول الأهداف/الضحايا، لذلك يظل أصل الحملة ونطاقها غير معروفين.
جدول المحتويات
تبدأ البرامج الضارة GhostEngine هجومها من خلال الظهور كملف شرعي
لا تزال الطريقة الأولية لاختراق الخادم غير واضحة، لكن الهجوم يبدأ بتنفيذ ملف يسمى "Tiworker.exe"، والذي يمثل ملف Windows شرعيًا. يعمل هذا الملف القابل للتنفيذ كحمولة مرحلية أولية لـ GhostEngine، وهو برنامج PowerShell النصي المصمم لتنزيل وحدات مختلفة لمختلف الأنشطة الضارة على الجهاز المصاب.
عند التنفيذ، يقوم Tiworker.exe بتنزيل برنامج PowerShell النصي المسمى "get.png" من خادم الأوامر والتحكم (C2) الخاص بالمهاجم، والذي يعمل كمحمل أساسي لـ GhostEngine. يقوم هذا البرنامج النصي باسترداد الوحدات الإضافية وتكويناتها، وتعطيل Windows Defender، وتمكين الخدمات عن بعد، ومسح سجلات أحداث Windows المختلفة.
بعد ذلك، يتحقق get.png من وجود 10 ميجابايت على الأقل من المساحة الحرة على النظام، وهو شرط لتعزيز الإصابة، ويقوم بإنشاء مهام مجدولة تسمى "OneDriveCloudSync" و"DefaultBrowserUpdate" و"OneDriveCloudBackup" لضمان الاستمرارية.
يمكن للبرامج الضارة GhostEngine إيقاف تشغيل برامج الأمان على أجهزة الضحايا
يشرع البرنامج النصي PowerShell في تنزيل وتنفيذ ملف قابل للتنفيذ يسمى Smartsscreen.exe، والذي يعمل بمثابة الحمولة الأساسية لـ GhostEngine. تم تكليف هذه البرامج الضارة بإنهاء وحذف برنامج Endpoint Detection and Response (EDR) وتنزيل XMRig وتشغيله لاستخراج العملات المشفرة. لتعطيل برنامج EDR، يستخدم GhostEngine اثنين من برامج تشغيل kernel الضعيفة: aswArPots.sys (برنامج تشغيل Avast) لإنهاء عمليات EDR وIObitUnlockers.sys (برنامج تشغيل IObit) لحذف الملفات التنفيذية المقابلة.
من أجل الاستمرارية، يتم تحميل ملف DLL المسمى "oci.dll" بواسطة خدمة Windows تسمى "msdtc". عند التنشيط، يقوم ملف DLL هذا بتنزيل نسخة حديثة من "get.png" لتثبيت أحدث إصدار من GhostEngine على الجهاز.
ونظرًا لاحتمال تخصيص محفظة فريدة لكل ضحية، فقد تكون المكاسب المالية من هجمات البرامج الضارة GhostEngine كبيرة.
التدابير الأمنية الموصى بها ضد البرامج الضارة لـ GhostEngine Miner
يوصي الباحثون بأن يظل المدافعون يقظين تجاه مؤشرات مثل عمليات تنفيذ PowerShell المشبوهة، وأنشطة العمليات غير العادية، وحركة مرور الشبكة الموجهة نحو مجمعات تعدين العملات المشفرة. علاوة على ذلك، ينبغي التعامل مع نشر برامج التشغيل الضعيفة وإنشاء خدمات وضع kernel المرتبطة بها كعلامات تحذيرية مهمة في أي نظام. كإجراء استباقي، يمكن أن يساعد حظر إنشاء الملفات من برامج التشغيل الضعيفة، مثل aswArPots.sys وIobitUnlockers.sys، في التخفيف من هذه التهديدات.
