GhostEngine skadelig programvare
En kampanje for kryptogruveangrep med kodenavnet REF4578 har blitt oppdaget som distribuerer en truende nyttelast kalt GhostEngine. Skadevaren er i stand til å utnytte sårbare drivere til å slå av sikkerhetsprodukter og distribuere en XMRig- gruvearbeider. Forskere har understreket den uvanlige sofistikeringen av disse kryptogruve-angrepene ved å gi ut rapporter med funnene deres. Men så langt har ekspertene ikke tilskrevet aktiviteten til noen kjente trusselaktører og heller ikke avslørt noen detaljer om mål/ofre, så kampanjens opprinnelse og omfang forblir ukjent.
Innholdsfortegnelse
GhostEngine-malware begynner sitt angrep ved å utgi seg som en legitim fil
Den innledende metoden for serverbrudd er fortsatt uklar, men angrepet begynner med kjøringen av en fil kalt 'Tiworker.exe', som utgir seg for å være en legitim Windows-fil. Denne kjørbare filen fungerer som den første iscenesettelsesnyttelasten for GhostEngine, et PowerShell-skript designet for å laste ned ulike moduler for ulike skadelige aktiviteter på den infiserte enheten.
Ved kjøring laster Tiworker.exe ned et PowerShell-skript kalt 'get.png' fra angriperens Command-and-Control-server (C2), og fungerer som den primære lasteren for GhostEngine. Dette skriptet henter tilleggsmoduler og deres konfigurasjoner, deaktiverer Windows Defender, aktiverer eksterne tjenester og sletter ulike Windows-hendelseslogger.
Deretter sjekker get.png for minst 10 MB ledig plass på systemet, et krav for å fremme infeksjonen, og oppretter planlagte oppgaver kalt 'OneDriveCloudSync', 'DefaultBrowserUpdate' og 'OneDriveCloudBackup' for å sikre utholdenhet.
GhostEngine Malware kan slå av sikkerhetsprogramvare på ofrenes enheter
PowerShell-skriptet fortsetter med å laste ned og kjøre en kjørbar fil kalt smartsscreen.exe, som fungerer som GhostEngines primære nyttelast. Denne skadelige programvaren har i oppgave å avslutte og slette Endpoint Detection and Response (EDR) programvare og laste ned og starte XMRig for å gruve kryptovaluta. For å deaktivere EDR-programvare, bruker GhostEngine to sårbare kjernedrivere: aswArPots.sys (en Avast-driver) for å avslutte EDR-prosesser og IObitUnlockers.sys (en IObit-driver) for å slette de tilsvarende kjørbare filene.
For utholdenhet lastes en DLL kalt 'oci.dll' av en Windows-tjeneste kalt 'msdtc.' Ved aktivering laster denne DLL-en ned en ny kopi av 'get.png' for å installere den nyeste versjonen av GhostEngine på maskinen.
Gitt muligheten for at hvert offer kan bli tildelt en unik lommebok, kan de økonomiske gevinstene fra GhostEngine malware-angrepene være betydelige.
Anbefalte sikkerhetstiltak mot GhostEngine Miner Malware
Forskere anbefaler at forsvarere forblir årvåkne for indikatorer som mistenkelige PowerShell-henrettelser, uvanlige prosessaktiviteter og nettverkstrafikk rettet mot gruvebassenger for kryptovaluta. Videre bør distribusjon av sårbare drivere og opprettelse av tilhørende kjernemodustjenester behandles som betydelige advarselsskilt i ethvert system. Som et proaktivt tiltak kan blokkering av opprettelse av filer fra sårbare drivere, som aswArPots.sys og IobitUnlockers.sys, bidra til å redusere disse truslene.
