GhostEngine Malware
En kryptomining-angrebskampagne med kodenavnet REF4578 er blevet opdaget, der implementerer en truende nyttelast ved navn GhostEngine. Malwaren er i stand til at udnytte sårbare drivere til at slukke for sikkerhedsprodukter og implementere en XMRig -miner. Forskere har understreget den usædvanlige sofistikering af disse krypto-mineangreb ved at udgive rapporter med deres resultater. Eksperterne har dog indtil videre ikke tilskrevet aktiviteten til nogen kendte trusselsaktører, og de har heller ikke afsløret detaljer om mål/ofre, så kampagnens oprindelse og omfang forbliver ukendt.
Indholdsfortegnelse
GhostEngine-malwaren begynder sit angreb ved at optræde som en legitim fil
Den indledende metode til serverbrud er stadig uklar, men angrebet begynder med udførelsen af en fil med navnet 'Tiworker.exe', som optræder som en legitim Windows-fil. Denne eksekverbare fungerer som den indledende iscenesættelse af nyttelast for GhostEngine, et PowerShell-script designet til at downloade forskellige moduler til forskellige skadelige aktiviteter på den inficerede enhed.
Efter udførelse downloader Tiworker.exe et PowerShell-script med navnet 'get.png' fra angriberens Command-and-Control-server (C2), der fungerer som den primære loader for GhostEngine. Dette script henter yderligere moduler og deres konfigurationer, deaktiverer Windows Defender, aktiverer fjerntjenester og rydder forskellige Windows-hændelseslogfiler.
Efterfølgende kontrollerer get.png for mindst 10 MB ledig plads på systemet, et krav for at fremme infektionen, og opretter planlagte opgaver med navnet 'OneDriveCloudSync', 'DefaultBrowserUpdate' og 'OneDriveCloudBackup' for at sikre vedholdenhed.
GhostEngine-malwaren kan lukke sikkerhedssoftwaren ned på ofres enheder
PowerShell-scriptet fortsætter med at downloade og udføre en eksekverbar fil ved navn smartsscreen.exe, som fungerer som GhostEngines primære nyttelast. Denne malware har til opgave at afslutte og slette Endpoint Detection and Response (EDR)-software og downloade og starte XMRig til at mine kryptovaluta. For at deaktivere EDR-software bruger GhostEngine to sårbare kernedrivere: aswArPots.sys (en Avast-driver) til at afslutte EDR-processer og IObitUnlockers.sys (en IObit-driver) til at slette de tilsvarende eksekverbare filer.
For vedholdenhed indlæses en DLL ved navn 'oci.dll' af en Windows-tjeneste kaldet 'msdtc.' Efter aktivering downloader denne DLL en ny kopi af 'get.png' for at installere den seneste version af GhostEngine på maskinen.
I betragtning af muligheden for, at hvert offer kan blive tildelt en unik tegnebog, kan de økonomiske gevinster fra GhostEngine malware-angrebene være betydelige.
Anbefalede sikkerhedsforanstaltninger mod GhostEngine Miner Malware
Forskere anbefaler, at forsvarere forbliver på vagt over for indikatorer som mistænkelige PowerShell-henrettelser, usædvanlige procesaktiviteter og netværkstrafik rettet mod cryptocurrency-minepuljer. Ydermere bør udrulning af sårbare drivere og oprettelse af tilhørende kernetilstandstjenester behandles som væsentlige advarselssignaler i ethvert system. Som en proaktiv foranstaltning kan blokering af oprettelsen af filer fra sårbare drivere, såsom aswArPots.sys og IobitUnlockers.sys, hjælpe med at afbøde disse trusler.
