Зловреден софтуер GhostEngine
Беше открита кампания за атака на крипто копаене с кодово име REF4578, която внедрява заплашителен полезен товар, наречен GhostEngine. Злонамереният софтуер е в състояние да използва уязвими драйвери, за да изключи продуктите за сигурност и да внедри XMRig майнер. Изследователите подчертаха необичайната сложност на тези атаки за крипто копаене, като публикуваха доклади с техните открития. Досега обаче експертите не са приписали дейността на известни участници в заплахата, нито са разкрили подробности за мишени/жертви, така че произходът и обхватът на кампанията остават неизвестни.
Съдържание
Злонамереният софтуер GhostEngine започва своята атака, представяйки се за легитимен файл
Първоначалният метод за пробив в сървъра остава неясен, но атаката започва с изпълнението на файл с име „Tiworker.exe“, който се представя за легитимен файл на Windows. Този изпълним файл служи като първоначален етап на полезно натоварване за GhostEngine, PowerShell скрипт, предназначен да изтегля различни модули за различни вредни дейности на заразеното устройство.
При изпълнение Tiworker.exe изтегля PowerShell скрипт с име „get.png“ от сървъра за командване и управление (C2) на атакуващия, действайки като основен зареждащ инструмент за GhostEngine. Този скрипт извлича допълнителни модули и техните конфигурации, деактивира Windows Defender, разрешава отдалечени услуги и изчиства различни журнали на събития на Windows.
Впоследствие get.png проверява за поне 10 MB свободно място в системата, изискване за напредване на инфекцията, и създава планирани задачи, наречени „OneDriveCloudSync“, „DefaultBrowserUpdate“ и „OneDriveCloudBackup“, за да осигури устойчивост.
Зловредният софтуер GhostEngine може да изключи софтуера за сигурност на устройствата на жертвите
Скриптът PowerShell продължава да изтегля и изпълнява изпълним файл с име smartsscreen.exe, който служи като основен полезен товар на GhostEngine. Този зловреден софтуер има за задача да прекрати и изтрие софтуера за откриване и реакция на крайни точки (EDR) и да изтегли и стартира XMRig за копаене на криптовалута. За да деактивира EDR софтуера, GhostEngine използва два уязвими драйвера на ядрото: aswArPots.sys (драйвер на Avast) за прекратяване на EDR процеси и IObitUnlockers.sys (IObit драйвер) за изтриване на съответните изпълними файлове.
За постоянство DLL с име „oci.dll“ се зарежда от услуга на Windows, наречена „msdtc“. При активиране този DLL изтегля ново копие на 'get.png', за да инсталира най-новата версия на GhostEngine на машината.
Като се има предвид възможността на всяка жертва да бъде присвоен уникален портфейл, финансовите печалби от атаките на зловреден софтуер на GhostEngine могат да бъдат значителни.
Препоръчителни мерки за сигурност срещу зловреден софтуер GhostEngine Miner
Изследователите препоръчват защитниците да останат бдителни за индикатори като подозрителни изпълнения на PowerShell, необичайни дейности на процеси и мрежов трафик, насочен към пулове за копаене на криптовалута. Освен това, внедряването на уязвими драйвери и създаването на свързани услуги за режим на ядрото трябва да се третират като значими предупредителни знаци във всяка система. Като проактивна мярка, блокирането на създаването на файлове от уязвими драйвери, като aswArPots.sys и IobitUnlockers.sys, може да помогне за смекчаване на тези заплахи.
