Perisian Hasad GhostEngine
Kempen serangan perlombongan kripto yang diberi nama kod REF4578 telah ditemui menggunakan muatan yang mengancam bernama GhostEngine. Malware ini mampu mengeksploitasi pemacu yang terdedah untuk mematikan produk keselamatan dan menggunakan pelombong XMRig . Penyelidik telah menggariskan kecanggihan luar biasa serangan perlombongan kripto ini dengan mengeluarkan laporan dengan penemuan mereka. Walau bagaimanapun, setakat ini, pakar tidak mengaitkan aktiviti itu kepada mana-mana pelakon ancaman yang diketahui dan mereka juga tidak mendedahkan sebarang butiran tentang sasaran/mangsa, jadi asal usul dan skop kempen masih tidak diketahui.
Isi kandungan
Perisian Hasad GhostEngine Memulakan Serangannya dengan Menyamar sebagai Fail Sah
Kaedah awal pelanggaran pelayan masih tidak jelas, tetapi serangan bermula dengan pelaksanaan fail bernama 'Tiworker.exe,' yang menyamar sebagai fail Windows yang sah. Boleh laku ini berfungsi sebagai muatan pementasan awal untuk GhostEngine, skrip PowerShell yang direka untuk memuat turun pelbagai modul untuk aktiviti berbahaya yang berbeza pada peranti yang dijangkiti.
Selepas pelaksanaan, Tiworker.exe memuat turun skrip PowerShell bernama 'get.png' daripada pelayan Command-and-Control (C2) penyerang, bertindak sebagai pemuat utama untuk GhostEngine. Skrip ini mendapatkan semula modul tambahan dan konfigurasinya, melumpuhkan Windows Defender, mendayakan perkhidmatan jauh dan mengosongkan pelbagai log peristiwa Windows.
Selepas itu, get.png menyemak sekurang-kurangnya 10MB ruang kosong pada sistem, keperluan untuk memajukan jangkitan, dan mencipta tugas berjadual bernama 'OneDriveCloudSync,' 'DefaultBrowserUpdate' dan 'OneDriveCloudBackup' untuk memastikan kegigihan.
Malware GhostEngine boleh Mematikan Perisian Keselamatan pada Peranti Mangsa
Skrip PowerShell meneruskan untuk memuat turun dan melaksanakan boleh laku bernama smartsscreen.exe, yang berfungsi sebagai muatan utama GhostEngine. Malware ini ditugaskan untuk menamatkan dan memadam perisian Pengesanan dan Tindak Balas Titik Akhir (EDR) serta memuat turun serta melancarkan XMRig untuk melombong mata wang kripto. Untuk melumpuhkan perisian EDR, GhostEngine menggunakan dua pemacu kernel yang terdedah: aswArPots.sys (pemacu Avast) untuk menamatkan proses EDR dan IObitUnlockers.sys (pemacu IObit) untuk memadamkan boleh laku yang sepadan.
Untuk kegigihan, DLL bernama 'oci.dll' dimuatkan oleh perkhidmatan Windows yang dipanggil 'msdtc.' Selepas pengaktifan, DLL ini memuat turun salinan baru 'get.png' untuk memasang versi terkini GhostEngine pada mesin.
Memandangkan kemungkinan bahawa setiap mangsa mungkin diberikan dompet yang unik, keuntungan kewangan daripada serangan malware GhostEngine mungkin besar.
Disyorkan Langkah Keselamatan terhadap Perisian Hasad GhostEngine Miner
Penyelidik mengesyorkan agar pembela tetap berwaspada terhadap petunjuk seperti pelaksanaan PowerShell yang mencurigakan, aktiviti proses luar biasa dan trafik rangkaian yang ditujukan kepada kumpulan perlombongan mata wang kripto. Tambahan pula, penggunaan pemacu yang terdedah dan penciptaan perkhidmatan mod kernel yang berkaitan harus dianggap sebagai tanda amaran penting dalam mana-mana sistem. Sebagai langkah proaktif, menyekat penciptaan fail daripada pemacu yang terdedah, seperti aswArPots.sys dan IobitUnlockers.sys, boleh membantu mengurangkan ancaman ini.
