بدافزار GhostEngine

یک کمپین حمله ماینینگ کریپتو با کد REF4578 کشف شده است که یک محموله تهدید کننده به نام GhostEngine را مستقر می کند. این بدافزار قادر است از درایورهای آسیب پذیر برای خاموش کردن محصولات امنیتی و استقرار یک ماینر XMRig سوء استفاده کند. محققان با انتشار گزارش هایی همراه با یافته های خود بر پیچیدگی غیرمعمول این حملات استخراج رمزنگاری تاکید کرده اند. با این حال، تا کنون، کارشناسان این فعالیت را به هیچ عامل تهدید شناخته شده نسبت نداده‌اند و هیچ جزئیاتی در مورد اهداف/قربانیان فاش نکرده‌اند، بنابراین منشا و دامنه این کمپین ناشناخته است.

بدافزار GhostEngine حمله خود را با ظاهر شدن به عنوان یک فایل قانونی آغاز می کند

روش اولیه نقض سرور نامشخص است، اما حمله با اجرای فایلی به نام "Tiworker.exe" آغاز می شود که به عنوان یک فایل قانونی ویندوز ظاهر می شود. این فایل اجرایی به عنوان محموله مرحله‌بندی اولیه برای GhostEngine، یک اسکریپت PowerShell که برای دانلود ماژول‌های مختلف برای فعالیت‌های مضر مختلف روی دستگاه آلوده طراحی شده است، عمل می‌کند.

پس از اجرا، Tiworker.exe یک اسکریپت PowerShell به نام "get.png" را از سرور Command-and-Control (C2) مهاجم دانلود می کند و به عنوان بارکننده اصلی برای GhostEngine عمل می کند. این اسکریپت ماژول های اضافی و تنظیمات آنها را بازیابی می کند، Windows Defender را غیرفعال می کند، خدمات راه دور را فعال می کند و گزارش های مختلف رویدادهای ویندوز را پاک می کند.

متعاقباً، get.png حداقل 10 مگابایت فضای خالی در سیستم را بررسی می‌کند، که برای پیشبرد عفونت لازم است، و کارهای برنامه‌ریزی شده‌ای به نام‌های «OneDriveCloudSync»، «DefaultBrowserUpdate» و «OneDriveCloudBackup» را برای اطمینان از پایداری ایجاد می‌کند.

بدافزار GhostEngine می تواند نرم افزار امنیتی را روی دستگاه های قربانیان خاموش کند

اسکریپت PowerShell اقدام به دانلود و اجرای یک فایل اجرایی به نام smartsscreen.exe می کند که به عنوان بار اصلی GhostEngine عمل می کند. وظیفه این بدافزار خاتمه و حذف نرم افزار Endpoint Detection and Response (EDR) و دانلود و راه اندازی XMRig برای استخراج ارزهای دیجیتال است. برای غیرفعال کردن نرم‌افزار EDR، GhostEngine از دو درایور هسته آسیب‌پذیر استفاده می‌کند: aswArPots.sys (یک درایور Avast) برای پایان دادن به فرآیندهای EDR و IObitUnlockers.sys (یک درایور IObit) برای حذف فایل‌های اجرایی مربوطه.

برای تداوم، یک DLL به نام 'oci.dll' توسط یک سرویس ویندوز به نام 'msdtc' بارگذاری می شود. پس از فعال‌سازی، این DLL یک نسخه جدید از «get.png» را دانلود می‌کند تا آخرین نسخه GhostEngine را روی دستگاه نصب کند.

با توجه به این احتمال که به هر قربانی ممکن است یک کیف پول منحصر به فرد اختصاص داده شود، سود مالی ناشی از حملات بدافزار GhostEngine می تواند قابل توجه باشد.

اقدامات امنیتی توصیه شده در برابر بدافزار GhostEngine Miner

محققان توصیه می‌کنند که مدافعان نسبت به شاخص‌هایی مانند اجرای مشکوک PowerShell، فعالیت‌های فرآیند غیرمعمول و ترافیک شبکه‌ای که به سمت استخرهای استخراج ارزهای دیجیتال هدایت می‌شوند، هوشیار باشند. علاوه بر این، استقرار درایورهای آسیب‌پذیر و ایجاد سرویس‌های حالت هسته مرتبط باید به عنوان علائم هشدار دهنده مهم در هر سیستمی تلقی شود. به عنوان یک اقدام پیشگیرانه، مسدود کردن ایجاد فایل ها از درایورهای آسیب پذیر، مانند aswArPots.sys و IobitUnlockers.sys، می تواند به کاهش این تهدیدها کمک کند.