មេរោគ GhostEngine
យុទ្ធនាការវាយប្រហារលើការជីកយករ៉ែគ្រីបតូ ដែលមានឈ្មោះថា REF4578 ត្រូវបានរកឃើញដោយដាក់ពង្រាយ payload គំរាមកំហែងដែលមានឈ្មោះថា GhostEngine ។ មេរោគនេះមានសមត្ថភាពទាញយកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ ដើម្បីបិទផលិតផលសុវត្ថិភាព និងដាក់ពង្រាយ XMRig miner។ អ្នកស្រាវជ្រាវបានគូសបញ្ជាក់អំពីភាពទំនើបមិនធម្មតានៃការវាយប្រហារការជីកយករ៉ែគ្រីបតូទាំងនេះដោយបញ្ចេញរបាយការណ៍ជាមួយនឹងការរកឃើញរបស់ពួកគេ។ ទោះបីជាយ៉ាងណាក៏ដោយ រហូតមកដល់ពេលនេះ អ្នកជំនាញមិនទាន់បានសន្មតថាសកម្មភាពនេះជាសកម្មភាពគំរាមកំហែងដែលគេស្គាល់ណាមួយ ហើយក៏មិនបានបង្ហាញព័ត៌មានលម្អិតអំពីគោលដៅ/ជនរងគ្រោះដែរ ដូច្នេះប្រភពដើម និងវិសាលភាពនៃយុទ្ធនាការនេះនៅមិនទាន់ដឹងនៅឡើយ។
តារាងមាតិកា
មេរោគ GhostEngine ចាប់ផ្តើមការវាយប្រហាររបស់វាដោយដាក់ជាឯកសារស្របច្បាប់
វិធីសាស្រ្តដំបូងនៃការរំលោភលើម៉ាស៊ីនមេនៅតែមិនច្បាស់លាស់ ប៉ុន្តែការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការប្រតិបត្តិឯកសារមួយដែលមានឈ្មោះថា 'Tiworker.exe' ដែលបង្កើតជាឯកសារ Windows ស្របច្បាប់។ កម្មវិធីដែលអាចប្រតិបត្តិបាននេះបម្រើជាបន្ទុកដំណាក់កាលដំបូងសម្រាប់ GhostEngine ដែលជាស្គ្រីប PowerShell ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកម៉ូឌុលផ្សេងៗសម្រាប់សកម្មភាពបង្កគ្រោះថ្នាក់ផ្សេងៗនៅលើឧបករណ៍ដែលមានមេរោគ។
នៅពេលប្រតិបត្តិ Tiworker.exe ទាញយកស្គ្រីប PowerShell ដែលមានឈ្មោះថា 'get.png' ពីម៉ាស៊ីនមេ Command-and-Control (C2) របស់អ្នកវាយប្រហារ ដែលដើរតួជាអ្នកផ្ទុកចម្បងសម្រាប់ GhostEngine ។ ស្គ្រីបនេះទាញយកម៉ូឌុលបន្ថែម និងការកំណត់រចនាសម្ព័ន្ធរបស់វា បិទ Windows Defender បើកសេវាកម្មពីចម្ងាយ និងសម្អាតកំណត់ហេតុព្រឹត្តិការណ៍ Windows ផ្សេងៗ។
បន្ទាប់មក get.png ពិនិត្យមើលទំហំទំនេរយ៉ាងតិច 10MB នៅលើប្រព័ន្ធ តម្រូវការសម្រាប់ការជំរុញការឆ្លង និងបង្កើតកិច្ចការដែលបានកំណត់ពេលដែលមានឈ្មោះថា 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' និង 'OneDriveCloudBackup' ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរ។
GhostEngine Malware អាចបិទកម្មវិធីសុវត្ថិភាពនៅលើឧបករណ៍ជនរងគ្រោះ
ស្គ្រីប PowerShell ដំណើរការដើម្បីទាញយក និងដំណើរការកម្មវិធីដែលអាចប្រតិបត្តិបានដែលមានឈ្មោះថា smartsscreen.exe ដែលបម្រើជាបន្ទុកចម្បងរបស់ GhostEngine ។ មេរោគនេះមានភារកិច្ចក្នុងការបញ្ចប់ និងលុបកម្មវិធី Endpoint Detection and Response (EDR) និងការទាញយក និងបើកដំណើរការ XMRig ដើម្បីជីកយករ៉ែ cryptocurrency ។ ដើម្បីបិទកម្មវិធី EDR GhostEngine ប្រើប្រាស់កម្មវិធីបញ្ជាខឺណែលដែលងាយរងគ្រោះចំនួនពីរ៖ aswArPots.sys (កម្មវិធីបញ្ជា Avast) ដើម្បីបញ្ចប់ដំណើរការ EDR និង IObitUnlockers.sys (កម្មវិធីបញ្ជា IObit) ដើម្បីលុបប្រតិបត្តិការដែលត្រូវគ្នា។
សម្រាប់ការបន្ត DLL ឈ្មោះ 'oci.dll' ត្រូវបានផ្ទុកដោយសេវាកម្ម Windows ដែលហៅថា 'msdtc'។ នៅពេលធ្វើឱ្យសកម្ម DLL នេះទាញយកច្បាប់ចម្លងថ្មីនៃ 'get.png' ដើម្បីដំឡើងកំណែចុងក្រោយបំផុតរបស់ GhostEngine នៅលើម៉ាស៊ីន។
ដោយសារលទ្ធភាពដែលជនរងគ្រោះម្នាក់ៗអាចត្រូវបានផ្តល់កាបូបតែមួយគត់នោះ ប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុពីការវាយប្រហារមេរោគ GhostEngine អាចមានច្រើនណាស់។
វិធានការសុវត្ថិភាពដែលបានណែនាំប្រឆាំងនឹងមេរោគ GhostEngine Miner Malware
អ្នកស្រាវជ្រាវបានផ្តល់អនុសាសន៍ថាអ្នកការពាររក្សាការប្រុងប្រយ័ត្នចំពោះសូចនាករដូចជាការប្រតិបត្តិ PowerShell គួរឱ្យសង្ស័យ សកម្មភាពដំណើរការមិនធម្មតា និងចរាចរបណ្តាញដែលតម្រង់ឆ្ពោះទៅរកការជីកយករ៉ែ cryptocurrency ។ លើសពីនេះ ការដាក់ពង្រាយកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ និងការបង្កើតសេវាកម្មរបៀបខឺណែលដែលពាក់ព័ន្ធគួរតែត្រូវបានចាត់ទុកជាសញ្ញាព្រមានដ៏សំខាន់នៅក្នុងប្រព័ន្ធណាមួយ។ ជាវិធានការសកម្ម ការទប់ស្កាត់ការបង្កើតឯកសារពីកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ ដូចជា aswArPots.sys និង IobitUnlockers.sys អាចជួយកាត់បន្ថយការគំរាមកំហែងទាំងនេះ។
