ঘোস্ট ইঞ্জিন ম্যালওয়্যার
REF4578 কোডনাম নামের একটি ক্রিপ্টো মাইনিং অ্যাটাক ক্যাম্পেইন আবিষ্কৃত হয়েছে যা ঘোস্ট ইঞ্জিন নামে একটি ভয়ঙ্কর পেলোড স্থাপন করছে। ম্যালওয়্যার নিরাপত্তা পণ্য বন্ধ করতে এবং একটি XMRig মাইনার স্থাপন করতে দুর্বল ড্রাইভারদের শোষণ করতে সক্ষম। গবেষকরা তাদের ফলাফলের সাথে প্রতিবেদন প্রকাশ করে এই ক্রিপ্টো-মাইনিং আক্রমণগুলির অস্বাভাবিক পরিশীলিততাকে আন্ডারলাইন করেছেন। যাইহোক, এখনও পর্যন্ত, বিশেষজ্ঞরা কোনও পরিচিত হুমকি অভিনেতাদের কার্যকলাপের জন্য দায়ী করেননি বা তারা লক্ষ্য/শিকার সম্পর্কে কোনও বিবরণ প্রকাশ করেননি, তাই প্রচারণার উত্স এবং সুযোগ অজানা থেকে যায়।
সুচিপত্র
GhostEngine ম্যালওয়্যার একটি বৈধ ফাইল হিসাবে জাহির করে তার আক্রমণ শুরু করে
সার্ভার লঙ্ঘনের প্রাথমিক পদ্ধতিটি অস্পষ্ট রয়ে গেছে, তবে আক্রমণটি শুরু হয় 'Tiworker.exe' নামের একটি ফাইলের সম্পাদনের মাধ্যমে, যা একটি বৈধ উইন্ডোজ ফাইল হিসাবে প্রকাশ করে। এই এক্সিকিউটেবলটি GhostEngine-এর প্রাথমিক স্টেজিং পেলোড হিসাবে কাজ করে, একটি পাওয়ারশেল স্ক্রিপ্ট যা সংক্রামিত ডিভাইসে বিভিন্ন ক্ষতিকারক কার্যকলাপের জন্য বিভিন্ন মডিউল ডাউনলোড করার জন্য ডিজাইন করা হয়েছে।
কার্যকর করার পরে, Tiworker.exe আক্রমণকারীর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে 'get.png' নামে একটি পাওয়ারশেল স্ক্রিপ্ট ডাউনলোড করে, যা GhostEngine-এর প্রাথমিক লোডার হিসেবে কাজ করে। এই স্ক্রিপ্টটি অতিরিক্ত মডিউল এবং তাদের কনফিগারেশন পুনরুদ্ধার করে, উইন্ডোজ ডিফেন্ডারকে নিষ্ক্রিয় করে, দূরবর্তী পরিষেবাগুলি সক্ষম করে এবং বিভিন্ন উইন্ডোজ ইভেন্ট লগ সাফ করে।
পরবর্তীকালে, get.png সিস্টেমে কমপক্ষে 10MB খালি স্থানের জন্য পরীক্ষা করে, সংক্রমণের অগ্রগতির জন্য একটি প্রয়োজনীয়তা, এবং স্থিরতা নিশ্চিত করতে 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' এবং 'OneDriveCloudBackup' নামে নির্ধারিত কাজগুলি তৈরি করে৷
GhostEngine ম্যালওয়্যার ভিকটিমদের ডিভাইসে নিরাপত্তা সফ্টওয়্যার বন্ধ করতে পারে
PowerShell স্ক্রিপ্ট smartsscreen.exe নামে একটি এক্সিকিউটেবল ডাউনলোড এবং এক্সিকিউট করার জন্য এগিয়ে যায়, যা GhostEngine-এর প্রাথমিক পেলোড হিসেবে কাজ করে। এই ম্যালওয়্যারটিকে এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) সফ্টওয়্যার বন্ধ করা এবং মুছে ফেলা এবং XMRig-কে মাইন ক্রিপ্টোকারেন্সি ডাউনলোড ও চালু করার দায়িত্ব দেওয়া হয়েছে। EDR সফ্টওয়্যার নিষ্ক্রিয় করতে, GhostEngine দুটি দুর্বল কার্নেল ড্রাইভার ব্যবহার করে: EDR প্রক্রিয়াগুলি বন্ধ করতে aswArPots.sys (একটি Avast ড্রাইভার) এবং সংশ্লিষ্ট এক্সিকিউটেবলগুলি মুছে ফেলার জন্য IObitUnlockers.sys (একটি IObit ড্রাইভার)।
দৃঢ়তার জন্য, 'oci.dll' নামের একটি DLL 'msdtc' নামে একটি উইন্ডোজ পরিষেবা দ্বারা লোড করা হয়। সক্রিয় করার পরে, এই DLL মেশিনে GhostEngine-এর সর্বশেষ সংস্করণ ইনস্টল করতে 'get.png'-এর একটি নতুন কপি ডাউনলোড করে।
প্রতিটি শিকারকে একটি অনন্য ওয়ালেট বরাদ্দ করা হতে পারে এমন সম্ভাবনার প্রেক্ষিতে, GhostEngine ম্যালওয়্যার আক্রমণ থেকে আর্থিক লাভ যথেষ্ট হতে পারে।
GhostEngine মাইনার ম্যালওয়্যারের বিরুদ্ধে প্রস্তাবিত নিরাপত্তা ব্যবস্থা
গবেষকরা সুপারিশ করেন যে ডিফেন্ডাররা সন্দেহজনক PowerShell এক্সিকিউশন, অস্বাভাবিক প্রক্রিয়া ক্রিয়াকলাপ এবং ক্রিপ্টোকারেন্সি মাইনিং পুলের দিকে পরিচালিত নেটওয়ার্ক ট্র্যাফিকের মতো সূচকগুলির জন্য সতর্ক থাকে৷ অধিকন্তু, দুর্বল ড্রাইভারের স্থাপনা এবং সংশ্লিষ্ট কার্নেল মোড পরিষেবা তৈরি করাকে যেকোনো সিস্টেমে গুরুত্বপূর্ণ সতর্কতা সংকেত হিসাবে বিবেচনা করা উচিত। একটি সক্রিয় ব্যবস্থা হিসাবে, aswArPots.sys এবং IobitUnlockers.sys এর মতো দুর্বল ড্রাইভার থেকে ফাইল তৈরি করা ব্লক করা এই হুমকিগুলি প্রশমিত করতে সহায়তা করতে পারে।
