GhostEngine 악성코드

코드명 REF4578이라는 암호화폐 채굴 공격 캠페인이 GhostEngine이라는 위협적인 페이로드를 배포하는 것으로 밝혀졌습니다. 이 악성코드는 취약한 드라이버를 악용하여 보안 제품을 끄고 XMRig 마이너를 배포할 수 있습니다. 연구원들은 연구 결과가 포함된 보고서를 발표함으로써 이러한 암호화폐 채굴 공격이 비정상적으로 정교하다는 점을 강조했습니다. 그러나 지금까지 전문가들은 이 활동을 알려진 위협 행위자의 소행으로 간주하지 않았으며 대상/피해자에 대한 세부 정보도 공개하지 않았으므로 캠페인의 출처와 범위는 아직 알려지지 않았습니다.

GhostEngine 악성 코드는 합법적인 파일로 가장하여 공격을 시작합니다.

서버 침해의 초기 방법은 여전히 불분명하지만 공격은 합법적인 Windows 파일로 위장한 'Tiworker.exe'라는 파일을 실행하면서 시작됩니다. 이 실행 파일은 감염된 장치에서 다양한 유해 활동에 대한 다양한 모듈을 다운로드하도록 설계된 PowerShell 스크립트인 GhostEngine의 초기 준비 페이로드 역할을 합니다.

실행 시 Tiworker.exe는 공격자의 C2(Command-and-Control) 서버에서 'get.png'라는 PowerShell 스크립트를 다운로드하여 GhostEngine의 기본 로더 역할을 합니다. 이 스크립트는 추가 모듈과 해당 구성을 검색하고, Windows Defender를 비활성화하고, 원격 서비스를 활성화하고, 다양한 Windows 이벤트 로그를 지웁니다.

이후 get.png는 감염 진행을 위한 요구 사항인 시스템에 최소 10MB의 여유 공간이 있는지 확인하고 'OneDriveCloudSync', 'DefaultBrowserUpdate' 및 'OneDriveCloudBackup'이라는 예약 작업을 생성하여 지속성을 보장합니다.

GhostEngine 악성 코드는 피해자 장치의 보안 소프트웨어를 종료할 수 있습니다.

PowerShell 스크립트는 GhostEngine의 기본 페이로드 역할을 하는 smartsscreen.exe라는 실행 파일을 다운로드하고 실행합니다. 이 악성코드는 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 종료 및 삭제하고 암호화폐를 채굴하기 위해 XMRig를 다운로드 및 실행하는 작업을 수행합니다. EDR 소프트웨어를 비활성화하기 위해 GhostEngine은 두 개의 취약한 커널 드라이버를 사용합니다. aswArPots.sys(Avast 드라이버)는 EDR 프로세스를 종료하고 IObitUnlockers.sys(IObit 드라이버)는 해당 실행 파일을 삭제합니다.

지속성을 위해 'msdtc'라는 Windows 서비스에 의해 'oci.dll'이라는 DLL이 로드됩니다. 활성화되면 이 DLL은 'get.png'의 새 복사본을 다운로드하여 시스템에 최신 버전의 GhostEngine을 설치합니다.

각 피해자에게 고유한 지갑이 할당될 가능성을 고려하면 GhostEngine 악성 코드 공격으로 인한 금전적 이득은 상당할 수 있습니다.

GhostEngine Miner Malware에 대한 권장 보안 조치

연구원들은 방어자들이 의심스러운 PowerShell 실행, 비정상적인 프로세스 활동, 암호화폐 채굴 풀로 향하는 네트워크 트래픽과 같은 지표를 경계할 것을 권장합니다. 또한 취약한 드라이버의 배포 및 관련 커널 모드 서비스 생성은 모든 시스템에서 중요한 경고 신호로 처리되어야 합니다. 사전 대책으로 aswArPots.sys 및 IobitUnlockers.sys와 같은 취약한 드라이버에서 파일 생성을 차단하면 이러한 위협을 완화하는 데 도움이 될 수 있습니다.