GhostEngine haittaohjelma
Salauslouhintahyökkäyskampanja koodinimeltään REF4578 on löydetty, ja se käyttää uhkaavaa hyötykuormaa nimeltä GhostEngine. Haittaohjelma pystyy hyödyntämään haavoittuvia ohjaimia sammuttaakseen tietoturvatuotteita ja ottaakseen käyttöön XMRig- kaivostyökalun. Tutkijat ovat korostaneet näiden salauslouhintahyökkäysten epätavallista hienostuneisuutta julkaisemalla raportteja löydöistään. Asiantuntijat eivät kuitenkaan ole toistaiseksi katsoneet toiminnan syyksi tunnetuiksi uhkatekijöiksi eivätkä paljastaneet yksityiskohtia kohteista/uhreista, joten kampanjan alkuperä ja laajuus ovat edelleen tuntemattomia.
Sisällysluettelo
GhostEngine-haittaohjelma aloittaa hyökkäyksensä esiintymällä laillisena tiedostona
Alkuperäinen palvelinmurron tapa on epäselvä, mutta hyökkäys alkaa tiedoston "Tiworker.exe" suorittamisella, joka esiintyy laillisena Windows-tiedostona. Tämä suoritettava tiedosto toimii GhostEnginelle, PowerShell-skriptille, joka on suunniteltu lataamaan erilaisia moduuleita tartunnan saaneelle laitteelle erilaisia haitallisia toimintoja varten.
Suorituksen jälkeen Tiworker.exe lataa PowerShell-komentosarjan nimeltä get.png hyökkääjän Command-and-Control (C2) -palvelimelta, joka toimii GhostEnginen ensisijaisena latausohjelmana. Tämä komentosarja noutaa lisämoduuleja ja niiden kokoonpanoja, poistaa Windows Defenderin käytöstä, ottaa käyttöön etäpalvelut ja tyhjentää erilaiset Windowsin tapahtumalokit.
Myöhemmin get.png tarkistaa, onko järjestelmässä vähintään 10 Mt vapaata tilaa, mikä on tartunnan edistämisen edellytys, ja luo ajoitetut tehtävät nimeltä "OneDriveCloudSync", "DefaultBrowserUpdate" ja "OneDriveCloudBackup" pysyvyyden varmistamiseksi.
GhostEngine-haittaohjelma voi sammuttaa suojausohjelmiston uhrien laitteissa
PowerShell-komentosarja lataa ja suorittaa suoritettavan tiedoston nimeltä smartsscreen.exe, joka toimii GhostEnginen ensisijaisena hyötykuormana. Tämän haittaohjelman tehtävänä on lopettaa ja poistaa Endpoint Detection and Response (EDR) -ohjelmisto sekä ladata ja käynnistää XMRig kryptovaluutan louhimiseksi. EDR-ohjelmiston poistamiseksi käytöstä GhostEngine käyttää kahta haavoittuvaa ydinohjainta: aswArPots.sys (Avast-ohjain) lopettaa EDR-prosessit ja IObitUnlockers.sys (IObit-ohjain) poistamaan vastaavat suoritettavat tiedostot.
Pysymisen vuoksi msdtc-niminen Windows-palvelu lataa DLL-tiedoston nimeltä "oci.dll". Aktivoinnin jälkeen tämä DLL lataa uuden kopion "get.png" -tiedostosta asentaakseen GhostEnginen uusimman version koneeseen.
Kun otetaan huomioon mahdollisuus, että jokaiselle uhrille saatetaan määrittää ainutlaatuinen lompakko, GhostEngine-haittaohjelmahyökkäyksistä saatavat taloudelliset hyödyt voivat olla huomattavia.
Suositellut suojatoimenpiteet GhostEngine Miner -haittaohjelmia vastaan
Tutkijat suosittelevat, että puolustajat pysyisivät valppaina osoittimien suhteen, kuten epäilyttävät PowerShell-teloitukset, epätavalliset prosessitoiminnot ja kryptovaluuttojen louhintapooliin suuntautuva verkkoliikenne. Lisäksi haavoittuvien ohjaimien käyttöönottoa ja niihin liittyvien ydintilan palveluiden luomista tulisi käsitellä merkittävinä varoitusmerkeinä kaikissa järjestelmissä. Ennakoivana toimenpiteenä tiedostojen luomisen estäminen haavoittuvista ohjaimista, kuten aswArPots.sys ja IobitUnlockers.sys, voi auttaa vähentämään näitä uhkia.
