घोस्टइंजन मैलवेयर
REF4578 कोडनाम वाले क्रिप्टो माइनिंग अटैक अभियान को घोस्टइंजन नामक एक खतरनाक पेलोड तैनात करते हुए पाया गया है। मैलवेयर सुरक्षा उत्पादों को बंद करने और XMRig माइनर को तैनात करने के लिए कमजोर ड्राइवरों का फायदा उठाने में सक्षम है। शोधकर्ताओं ने अपने निष्कर्षों के साथ रिपोर्ट जारी करके इन क्रिप्टो-माइनिंग हमलों की असामान्य परिष्कार को रेखांकित किया है। हालाँकि, अब तक, विशेषज्ञों ने किसी भी ज्ञात खतरे वाले अभिनेता को गतिविधि के लिए जिम्मेदार नहीं ठहराया है और न ही उन्होंने लक्ष्य/पीड़ितों के बारे में कोई विवरण बताया है, इसलिए अभियान की उत्पत्ति और दायरा अज्ञात बना हुआ है।
विषयसूची
घोस्टइंजन मैलवेयर ने वैध फ़ाइल के रूप में अपना हमला शुरू किया
सर्वर ब्रीच की प्रारंभिक विधि अभी भी अस्पष्ट है, लेकिन हमला 'Tiworker.exe' नामक फ़ाइल के निष्पादन से शुरू होता है, जो एक वैध विंडोज फ़ाइल के रूप में प्रस्तुत होती है। यह निष्पादन योग्य GhostEngine के लिए प्रारंभिक स्टेजिंग पेलोड के रूप में कार्य करता है, जो संक्रमित डिवाइस पर विभिन्न हानिकारक गतिविधियों के लिए विभिन्न मॉड्यूल डाउनलोड करने के लिए डिज़ाइन की गई PowerShell स्क्रिप्ट है।
निष्पादन के बाद, Tiworker.exe हमलावर के कमांड-एंड-कंट्रोल (C2) सर्वर से 'get.png' नामक एक PowerShell स्क्रिप्ट डाउनलोड करता है, जो GhostEngine के लिए प्राथमिक लोडर के रूप में कार्य करता है। यह स्क्रिप्ट अतिरिक्त मॉड्यूल और उनके कॉन्फ़िगरेशन को पुनः प्राप्त करती है, Windows Defender को अक्षम करती है, दूरस्थ सेवाओं को सक्षम करती है और विभिन्न Windows ईवेंट लॉग को साफ़ करती है।
इसके बाद, get.png सिस्टम पर कम से कम 10MB खाली स्थान की जांच करता है, जो संक्रमण को आगे बढ़ाने के लिए आवश्यक है, और स्थायित्व सुनिश्चित करने के लिए 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' और 'OneDriveCloudBackup' नामक शेड्यूल किए गए कार्य बनाता है।
घोस्टइंजन मैलवेयर पीड़ितों के डिवाइस पर सुरक्षा सॉफ़्टवेयर को बंद कर सकता है
PowerShell स्क्रिप्ट smartsscreen.exe नामक एक निष्पादन योग्य फ़ाइल को डाउनलोड और निष्पादित करने के लिए आगे बढ़ती है, जो GhostEngine के प्राथमिक पेलोड के रूप में कार्य करती है। इस मैलवेयर को एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) सॉफ़्टवेयर को समाप्त करने और हटाने तथा क्रिप्टोकरेंसी माइन करने के लिए XMRig को डाउनलोड और लॉन्च करने का काम सौंपा गया है। EDR सॉफ़्टवेयर को अक्षम करने के लिए, GhostEngine दो कमज़ोर कर्नेल ड्राइवर का उपयोग करता है: EDR प्रक्रियाओं को समाप्त करने के लिए aswArPots.sys (Avast ड्राइवर) और संबंधित निष्पादन योग्य फ़ाइलों को हटाने के लिए IObitUnlockers.sys (IObit ड्राइवर)।
स्थायित्व के लिए, 'oci.dll' नामक DLL को 'msdtc' नामक Windows सेवा द्वारा लोड किया जाता है। सक्रियण के बाद, यह DLL मशीन पर GhostEngine का नवीनतम संस्करण स्थापित करने के लिए 'get.png' की एक नई प्रति डाउनलोड करता है।
इस संभावना को देखते हुए कि प्रत्येक पीड़ित को एक विशिष्ट वॉलेट आवंटित किया जा सकता है, घोस्टइंजन मैलवेयर हमलों से वित्तीय लाभ काफी अधिक हो सकता है।
घोस्टइंजन माइनर मैलवेयर के विरुद्ध अनुशंसित सुरक्षा उपाय
शोधकर्ताओं ने सुझाव दिया है कि डिफेंडर्स संदिग्ध पावरशेल निष्पादन, असामान्य प्रक्रिया गतिविधियों और क्रिप्टोक्यूरेंसी माइनिंग पूल की ओर निर्देशित नेटवर्क ट्रैफ़िक जैसे संकेतकों के प्रति सतर्क रहें। इसके अलावा, कमजोर ड्राइवरों की तैनाती और संबंधित कर्नेल मोड सेवाओं के निर्माण को किसी भी सिस्टम में महत्वपूर्ण चेतावनी संकेतों के रूप में माना जाना चाहिए। एक सक्रिय उपाय के रूप में, aswArPots.sys और IobitUnlockers.sys जैसे कमजोर ड्राइवरों से फ़ाइलों के निर्माण को रोकना, इन खतरों को कम करने में मदद कर सकता है।
