GhostEngine ļaunprātīga programmatūra
Tika atklāta kriptogrāfijas ieguves uzbrukuma kampaņa ar koda nosaukumu REF4578, kas izvieto apdraudošu kravnesību ar nosaukumu GhostEngine. Ļaunprātīga programmatūra spēj izmantot neaizsargātus draiverus, lai izslēgtu drošības produktus un izvietotu XMRig kalnraču. Pētnieki ir uzsvēruši šo kriptoraktuves uzbrukumu neparasto sarežģītību, publicējot ziņojumus ar saviem atklājumiem. Tomēr līdz šim eksperti šo darbību nav attiecinājuši uz zināmiem apdraudējuma dalībniekiem, kā arī nav atklājuši nekādu informāciju par mērķiem/upuriem, tāpēc kampaņas izcelsme un apjoms joprojām nav zināms.
Satura rādītājs
GhostEngine ļaunprogrammatūra sāk savu uzbrukumu, uzdodoties par likumīgu failu
Sākotnējā servera pārkāpuma metode joprojām nav skaidra, taču uzbrukums sākas ar faila ar nosaukumu "Tiworker.exe" izpildi, kas tiek uzskatīts par likumīgu Windows failu. Šis izpildāmais fails kalpo kā sākotnējā slodze GhostEngine — PowerShell skriptam, kas paredzēts dažādu moduļu lejupielādei dažādām kaitīgām darbībām inficētajā ierīcē.
Pēc izpildes Tiworker.exe lejupielādē PowerShell skriptu ar nosaukumu “get.png” no uzbrucēja Command-and-Control (C2) servera, kas darbojas kā galvenais GhostEngine ielādētājs. Šis skripts izgūst papildu moduļus un to konfigurācijas, atspējo Windows Defender, iespējo attālos pakalpojumus un notīra dažādus Windows notikumu žurnālus.
Pēc tam get.png pārbauda, vai sistēmā ir vismaz 10 MB brīvas vietas, kas ir prasība infekcijas izplatībai, un izveido ieplānotus uzdevumus ar nosaukumu "OneDriveCloudSync", "DefaultBrowserUpdate" un "OneDriveCloudBackup", lai nodrošinātu noturību.
GhostEngine ļaunprogrammatūra var izslēgt drošības programmatūru upuru ierīcēs
PowerShell skripts lejupielādē un izpilda izpildāmo failu smartsscreen.exe, kas kalpo kā GhostEngine galvenā lietderīgā slodze. Šīs ļaunprātīgās programmatūras uzdevums ir pārtraukt un dzēst Endpoint Detection and Response (EDR) programmatūru un lejupielādēt un palaist XMRig, lai iegūtu kriptovalūtu. Lai atspējotu EDR programmatūru, GhostEngine izmanto divus ievainojamus kodola draiverus: aswArPots.sys (Avast draiveris), lai pārtrauktu EDR procesus, un IObitUnlockers.sys (IObit draiveris), lai dzēstu atbilstošās izpildāmās programmas.
Lai nodrošinātu noturību, DLL ar nosaukumu "oci.dll" ielādē Windows pakalpojums ar nosaukumu "msdtc". Pēc aktivizēšanas šis DLL lejupielādē jaunu 'get.png' kopiju, lai datorā instalētu jaunāko GhostEngine versiju.
Ņemot vērā iespēju, ka katram upurim var tikt piešķirts unikāls maciņš, finansiālais ieguvums no GhostEngine ļaunprātīgas programmatūras uzbrukumiem varētu būt ievērojams.
Ieteicamie drošības pasākumi pret ļaunprogrammatūru GhostEngine Miner
Pētnieki iesaka aizstāvjiem saglabāt modrību attiecībā uz tādiem rādītājiem kā aizdomīgas PowerShell izpildes, neparastas procesa darbības un tīkla trafika, kas vērsta uz kriptovalūtu ieguves baseiniem. Turklāt neaizsargātu draiveru izvietošana un saistīto kodola režīma pakalpojumu izveide būtu jāuzskata par nozīmīgiem brīdinājuma signāliem jebkurā sistēmā. Kā proaktīvs pasākums, bloķējot failu izveidi no ievainojamiem draiveriem, piemēram, aswArPots.sys un IobitUnlockers.sys, var palīdzēt mazināt šos draudus.
