Zlonamjerni softver GhostEngine
Otkrivena je kampanja napada na kripto rudarenje kodnog naziva REF4578 koja koristi prijeteći korisni teret pod nazivom GhostEngine. Zlonamjerni softver može iskoristiti ranjive upravljačke programe za isključivanje sigurnosnih proizvoda i implementaciju XMRig rudara. Istraživači su naglasili neobičnu sofisticiranost ovih napada na kripto rudarenje objavljujući izvješća sa svojim nalazima. Međutim, do sada stručnjaci aktivnost nisu pripisali nijednom poznatom akteru prijetnje niti su otkrili bilo kakve detalje o metama/žrtvama, tako da podrijetlo i opseg kampanje ostaju nepoznati.
Sadržaj
Zlonamjerni softver GhostEngine započinje svoj napad predstavljajući se kao legitimna datoteka
Početna metoda provale poslužitelja ostaje nejasna, ali napad počinje izvršavanjem datoteke pod nazivom 'Tiworker.exe', koja se predstavlja kao legitimna Windows datoteka. Ova izvršna datoteka služi kao početno početno opterećenje za GhostEngine, skriptu PowerShell dizajniranu za preuzimanje različitih modula za različite štetne aktivnosti na zaraženom uređaju.
Nakon izvršenja, Tiworker.exe preuzima skriptu PowerShell pod nazivom 'get.png' s napadačevog Command-and-Control (C2) poslužitelja, djelujući kao primarni učitavač za GhostEngine. Ova skripta dohvaća dodatne module i njihove konfiguracije, onemogućuje Windows Defender, omogućuje udaljene usluge i briše razne Windows zapisnike događaja.
Nakon toga, get.png provjerava najmanje 10 MB slobodnog prostora na sustavu, što je preduvjet za napredovanje infekcije, i stvara zakazane zadatke pod nazivom 'OneDriveCloudSync,' 'DefaultBrowserUpdate' i 'OneDriveCloudBackup' kako bi se osigurala postojanost.
Zlonamjerni softver GhostEngine može isključiti sigurnosni softver na uređajima žrtava
PowerShell skripta nastavlja s preuzimanjem i izvršavanjem izvršne datoteke pod nazivom smartsscreen.exe, koja služi kao primarno opterećenje GhostEnginea. Ovaj zlonamjerni softver ima zadatak prekinuti i izbrisati softver za otkrivanje i odgovor krajnje točke (EDR) te preuzeti i pokrenuti XMRig za rudarenje kriptovalute. Kako bi onemogućio EDR softver, GhostEngine koristi dva ranjiva upravljačka programa kernela: aswArPots.sys (Avast upravljački program) za prekid EDR procesa i IObitUnlockers.sys (IObit upravljački program) za brisanje odgovarajućih izvršnih datoteka.
Radi postojanosti, DLL pod nazivom 'oci.dll' učitava Windows usluga pod nazivom 'msdtc'. Nakon aktivacije, ovaj DLL preuzima novu kopiju 'get.png' za instaliranje najnovije verzije GhostEngine na stroj.
S obzirom na mogućnost da se svakoj žrtvi može dodijeliti jedinstveni novčanik, financijska dobit od napada malwarea GhostEngine mogla bi biti znatna.
Preporučene sigurnosne mjere protiv zlonamjernog softvera GhostEngine Miner
Istraživači preporučuju da branitelji ostanu oprezni zbog pokazatelja kao što su sumnjiva izvršenja PowerShell-a, neobične procesne aktivnosti i mrežni promet usmjeren prema bazenima za rudarenje kriptovaluta. Nadalje, implementacija ranjivih upravljačkih programa i stvaranje povezanih usluga načina rada jezgre treba se tretirati kao značajni znakovi upozorenja u bilo kojem sustavu. Kao proaktivna mjera, blokiranje stvaranja datoteka iz ranjivih upravljačkih programa, kao što su aswArPots.sys i IobitUnlockers.sys, može pomoći u ublažavanju ovih prijetnji.
