תוכנה זדונית של GhostEngine
מסע פרסום של התקפת כריית קריפטו בשם הקוד REF4578 התגלה תוך פריסת מטען מאיים בשם GhostEngine. התוכנה הזדונית מסוגלת לנצל מנהלי התקנים פגיעים כדי לכבות מוצרי אבטחה ולפרוס כורה XMRig . חוקרים הדגישו את התחכום הבלתי רגיל של התקפות כריית קריפטו אלה על ידי פרסום דוחות עם ממצאיהם. עם זאת, עד כה, המומחים לא ייחסו את הפעילות לגורמי איום ידועים ולא חשפו פרטים כלשהם על מטרות/קורבנות, כך שמקורו והיקפו של הקמפיין נותרו עלומים.
תוכן העניינים
תוכנת זדונית GhostEngine מתחילה את התקפתה בהתחזות לקובץ לגיטימי
השיטה הראשונית של פריצת שרת נותרה לא ברורה, אך המתקפה מתחילה בביצוע של קובץ בשם 'Tiworker.exe' שמתחזה לקובץ Windows לגיטימי. קובץ הפעלה זה משמש כמטען ראשוני עבור GhostEngine, סקריפט PowerShell שנועד להוריד מודולים שונים עבור פעילויות מזיקות שונות במכשיר הנגוע.
לאחר הביצוע, Tiworker.exe מוריד סקריפט PowerShell בשם 'get.png' משרת ה-Command-and-Control (C2) של התוקף, הפועל כמטעין הראשי של GhostEngine. סקריפט זה מאחזר מודולים נוספים ותצורותיהם, משבית את Windows Defender, מאפשר שירותים מרוחקים ומנקה יומני אירועים שונים של Windows.
לאחר מכן, get.png בודק עבור לפחות 10MB של שטח פנוי במערכת, דרישה לקידום ההדבקה, ויוצר משימות מתוזמנות בשם 'OneDriveCloudSync', 'DefaultBrowserUpdate' ו-'OneDriveCloudBackup' כדי להבטיח התמדה.
תוכנת GhostEngine זדונית יכולה לכבות את תוכנת האבטחה במכשירים של הקורבנות
סקריפט PowerShell ממשיך להוריד ולהפעיל קובץ הפעלה בשם smartsscreen.exe, המשמש כמטען העיקרי של GhostEngine. התוכנה הזדונית הזו מוטלת על סיום ומחיקת תוכנת זיהוי ותגובה של נקודות קצה (EDR) והורדה והשקה של XMRig לכריית מטבעות קריפטוגרפיים. כדי להשבית את תוכנת EDR, GhostEngine משתמש בשני מנהלי התקנים של ליבה פגיעים: aswArPots.sys (מנהל התקן של Avast) כדי לסיים תהליכי EDR ו-IObitUnlockers.sys (מנהל התקן של IObit) כדי למחוק את קובצי ההפעלה המתאימים.
לצורך התמדה, DLL בשם 'oci.dll' נטען על ידי שירות Windows בשם 'msdtc'. עם ההפעלה, DLL זה מוריד עותק חדש של 'get.png' כדי להתקין את הגרסה העדכנית ביותר של GhostEngine במחשב.
בהינתן האפשרות שלכל קורבן עשוי להיות מוקצה ארנק ייחודי, הרווחים הכספיים מהתקפות הזדוניות של GhostEngine עשויות להיות משמעותיות.
אמצעי אבטחה מומלצים נגד תוכנת GhostEngine Miner Malware
חוקרים ממליצים למגינים להישאר ערניים לאינדיקטורים כמו ביצוע חשודים להורג של PowerShell, פעילויות תהליכיות חריגות ותעבורת רשת המופנית למאגרי כריית מטבעות קריפטוגרפיים. יתרה מזאת, יש להתייחס לפריסה של מנהלי התקנים פגיעים וליצירת שירותי מצב ליבה משויכים כאל סימני אזהרה משמעותיים בכל מערכת. כאמצעי יזום, חסימת יצירת קבצים ממנהלי התקנים פגיעים, כגון aswArPots.sys ו-IobitUnlockers.sys, יכולה לסייע בהפחתת האיומים הללו.
