GhostEngine मालवेयर
REF4578 कोड नाम गरिएको क्रिप्टो खनन आक्रमण अभियान घोस्टइन्जिन नामक एक धम्कीपूर्ण पेलोड तैनात गर्ने पत्ता लागेको छ। मालवेयरले सुरक्षा उत्पादनहरू बन्द गर्न र XMRig माइनर प्रयोग गर्न कमजोर ड्राइभरहरूको शोषण गर्न सक्षम छ। अनुसन्धानकर्ताहरूले यी क्रिप्टो-खनन आक्रमणहरूको असामान्य परिष्कारलाई तिनीहरूको निष्कर्षको साथ रिपोर्टहरू जारी गरेर रेखांकित गरेका छन्। यद्यपि, अहिलेसम्म, विज्ञहरूले कुनै पनि ज्ञात खतरा अभिनेताहरूलाई गतिविधिको श्रेय दिएका छैनन् वा उनीहरूले लक्ष्य/पीडितहरूको बारेमा कुनै विवरण खुलाएका छैनन्, त्यसैले अभियानको उत्पत्ति र दायरा अज्ञात छ।
सामग्रीको तालिका
GhostEngine मालवेयरले वैध फाइलको रूपमा प्रस्तुत गरेर यसको आक्रमण सुरु गर्छ
सर्भर उल्लंघनको प्रारम्भिक विधि अस्पष्ट रहन्छ, तर आक्रमण 'Tiworker.exe' नामको फाइलको कार्यान्वयनबाट सुरु हुन्छ, जुन वैध विन्डोज फाइलको रूपमा खडा हुन्छ। यो कार्यान्वयनयोग्य GhostEngine को लागि प्रारम्भिक स्टेजिङ पेलोडको रूपमा कार्य गर्दछ, एक PowerShell स्क्रिप्ट संक्रमित यन्त्रमा विभिन्न हानिकारक गतिविधिहरूको लागि विभिन्न मोड्युलहरू डाउनलोड गर्न डिजाइन गरिएको।
कार्यान्वयन पछि, Tiworker.exe ले GhostEngine को लागि प्राथमिक लोडरको रूपमा काम गर्दै आक्रमणकर्ताको कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरबाट 'get.png' नामको PowerShell स्क्रिप्ट डाउनलोड गर्छ। यो स्क्रिप्टले थप मोड्युलहरू र तिनीहरूको कन्फिगरेसनहरू पुन: प्राप्त गर्दछ, Windows Defender असक्षम पार्छ, टाढाको सेवाहरू सक्षम पार्छ र विभिन्न Windows घटना लगहरू खाली गर्दछ।
त्यसपछि, get.png ले प्रणालीमा कम्तिमा 10MB खाली ठाउँको लागि जाँच गर्दछ, संक्रमणलाई अगाडि बढाउनको लागि आवश्यकता, र दृढता सुनिश्चित गर्न 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' र 'OneDriveCloudBackup' नामक निर्धारित कार्यहरू सिर्जना गर्दछ।
GhostEngine मालवेयरले पीडितको यन्त्रहरूमा सुरक्षा सफ्टवेयर बन्द गर्न सक्छ
PowerShell स्क्रिप्टले GhostEngine को प्राथमिक पेलोडको रूपमा कार्य गर्ने smartsscreen.exe नामको कार्यान्वयन योग्य डाउनलोड र कार्यान्वयन गर्न अगाडि बढ्छ। यो मालवेयरलाई EndPoint Detection and Response (EDR) सफ्टवेयर समाप्त गर्ने र मेटाउने र XMRig माइन क्रिप्टोकरन्सी डाउनलोड गर्ने र लन्च गर्ने जिम्मा दिइएको छ। EDR सफ्टवेयर असक्षम गर्न, GhostEngine ले दुई कमजोर कर्नेल ड्राइभरहरू प्रयोग गर्दछ: aswArPots.sys (एउटा Avast ड्राइभर) EDR प्रक्रियाहरू समाप्त गर्न र IObitUnlockers.sys (एक IObit ड्राइभर) सम्बन्धित कार्यान्वयनयोग्यहरू मेटाउन।
दृढताका लागि, 'oci.dll' नामको DLL 'msdtc' नामक विन्डोज सेवाद्वारा लोड गरिएको छ। सक्रिय भएपछि, यो DLL ले मेसिनमा GhostEngine को नवीनतम संस्करण स्थापना गर्न 'get.png' को नयाँ प्रतिलिपि डाउनलोड गर्छ।
प्रत्येक पीडितलाई एक अद्वितीय वालेट तोकिएको हुन सक्ने सम्भावनालाई ध्यानमा राख्दै, GhostEngine मालवेयर आक्रमणबाट हुने आर्थिक लाभहरू पर्याप्त हुन सक्छ।
GhostEngine Miner Malware विरुद्ध सिफारिस गरिएको सुरक्षा उपायहरू
अन्वेषकहरूले सुझाव दिन्छन् कि संदिग्ध PowerShell कार्यान्वयन, असामान्य प्रक्रिया गतिविधिहरू, र क्रिप्टोकरेन्सी खनन पूल तर्फ निर्देशित नेटवर्क ट्राफिक जस्ता संकेतकहरूका लागि रक्षकहरू सतर्क रहन्छन्। यसबाहेक, कमजोर ड्राइभरहरूको तैनाती र सम्बन्धित कर्नेल मोड सेवाहरूको सिर्जनालाई कुनै पनि प्रणालीमा महत्त्वपूर्ण चेतावनी संकेतको रूपमा व्यवहार गर्नुपर्छ। एक सक्रिय उपायको रूपमा, aswArPots.sys र IobitUnlockers.sys जस्ता कमजोर ड्राइभरहरूबाट फाइलहरू सिर्जना गर्न रोक्दा यी खतराहरूलाई कम गर्न मद्दत गर्न सक्छ।
