Κακόβουλο λογισμικό GhostEngine
Ανακαλύφθηκε μια εκστρατεία επίθεσης εξόρυξης κρυπτονομισμάτων με την κωδική ονομασία REF4578 που αναπτύσσει ένα απειλητικό ωφέλιμο φορτίο που ονομάζεται GhostEngine. Το κακόβουλο λογισμικό είναι σε θέση να εκμεταλλεύεται ευάλωτα προγράμματα οδήγησης για να απενεργοποιήσει τα προϊόντα ασφαλείας και να αναπτύξει ένα XMRig miner. Οι ερευνητές έχουν υπογραμμίσει την ασυνήθιστη πολυπλοκότητα αυτών των επιθέσεων εξόρυξης κρυπτονομισμάτων, δημοσιεύοντας αναφορές με τα ευρήματά τους. Ωστόσο, μέχρι στιγμής, οι ειδικοί δεν έχουν αποδώσει τη δραστηριότητα σε κανέναν γνωστό παράγοντα απειλής ούτε έχουν αποκαλύψει λεπτομέρειες σχετικά με στόχους/θύματα, επομένως η προέλευση και το εύρος της εκστρατείας παραμένουν άγνωστα.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό GhostEngine αρχίζει την επίθεσή του παρουσιάζοντας ως νόμιμο αρχείο
Η αρχική μέθοδος παραβίασης διακομιστή παραμένει ασαφής, αλλά η επίθεση ξεκινά με την εκτέλεση ενός αρχείου με το όνομα "Tiworker.exe", το οποίο εμφανίζεται ως νόμιμο αρχείο των Windows. Αυτό το εκτελέσιμο αρχείο χρησιμεύει ως το αρχικό ωφέλιμο φορτίο σταδίου για το GhostEngine, ένα σενάριο PowerShell που έχει σχεδιαστεί για λήψη διαφόρων λειτουργικών μονάδων για διαφορετικές επιβλαβείς δραστηριότητες στη μολυσμένη συσκευή.
Κατά την εκτέλεση, το Tiworker.exe κατεβάζει ένα σενάριο PowerShell με το όνομα «get.png» από τον διακομιστή Command-and-Control (C2) του εισβολέα, που λειτουργεί ως ο κύριος φορτωτής για το GhostEngine. Αυτό το σενάριο ανακτά πρόσθετες μονάδες και τις διαμορφώσεις τους, απενεργοποιεί το Windows Defender, ενεργοποιεί απομακρυσμένες υπηρεσίες και διαγράφει διάφορα αρχεία καταγραφής συμβάντων των Windows.
Στη συνέχεια, το get.png ελέγχει για τουλάχιστον 10 MB ελεύθερου χώρου στο σύστημα, μια απαίτηση για την προώθηση της μόλυνσης, και δημιουργεί προγραμματισμένες εργασίες που ονομάζονται «OneDriveCloudSync», «DefaultBrowserUpdate» και «OneDriveCloudBackup» για να διασφαλιστεί η επιμονή.
Το κακόβουλο λογισμικό GhostEngine μπορεί να τερματίσει τη λειτουργία του λογισμικού ασφαλείας στις συσκευές των θυμάτων
Το σενάριο PowerShell προχωρά στη λήψη και εκτέλεση ενός εκτελέσιμου με το όνομα smartsscreen.exe, το οποίο χρησιμεύει ως το κύριο ωφέλιμο φορτίο του GhostEngine. Αυτό το κακόβουλο λογισμικό έχει ως αποστολή τον τερματισμό και τη διαγραφή του λογισμικού Endpoint Detection and Response (EDR) και τη λήψη και εκκίνηση του XMRig για εξόρυξη κρυπτονομισμάτων. Για να απενεργοποιήσει το λογισμικό EDR, το GhostEngine χρησιμοποιεί δύο ευάλωτα προγράμματα οδήγησης πυρήνα: το aswArPots.sys (ένα πρόγραμμα οδήγησης Avast) για τον τερματισμό των διεργασιών EDR και το IObitUnlockers.sys (ένα πρόγραμμα οδήγησης IObit) για τη διαγραφή των αντίστοιχων εκτελέσιμων αρχείων.
Για επιμονή, ένα DLL με το όνομα «oci.dll» φορτώνεται από μια υπηρεσία των Windows που ονομάζεται «msdtc». Μετά την ενεργοποίηση, αυτό το DLL κατεβάζει ένα νέο αντίγραφο του 'get.png' για να εγκαταστήσει την πιο πρόσφατη έκδοση του GhostEngine στο μηχάνημα.
Δεδομένης της πιθανότητας να εκχωρηθεί σε κάθε θύμα ένα μοναδικό πορτοφόλι, τα οικονομικά κέρδη από τις επιθέσεις κακόβουλου λογισμικού GhostEngine θα μπορούσαν να είναι σημαντικά.
Συνιστώμενα μέτρα ασφαλείας κατά του κακόβουλου λογισμικού GhostEngine Miner
Οι ερευνητές συνιστούν στους υπερασπιστές να παραμείνουν σε επαγρύπνηση για δείκτες όπως ύποπτες εκτελέσεις PowerShell, ασυνήθιστες δραστηριότητες διεργασιών και κίνηση δικτύου που κατευθύνεται προς τις δεξαμενές εξόρυξης κρυπτονομισμάτων. Επιπλέον, η ανάπτυξη ευάλωτων προγραμμάτων οδήγησης και η δημιουργία σχετικών υπηρεσιών λειτουργίας πυρήνα θα πρέπει να αντιμετωπίζονται ως σημαντικά προειδοποιητικά σημάδια σε οποιοδήποτε σύστημα. Ως προληπτικό μέτρο, ο αποκλεισμός της δημιουργίας αρχείων από ευάλωτα προγράμματα οδήγησης, όπως το aswArPots.sys και το IobitUnlockers.sys, μπορεί να βοηθήσει στον μετριασμό αυτών των απειλών.
