GhostEngine-malware
Er is een cryptomining-aanvalscampagne ontdekt met de codenaam REF4578, waarbij een bedreigende lading met de naam GhostEngine wordt ingezet. De malware kan kwetsbare stuurprogramma's misbruiken om beveiligingsproducten uit te schakelen en een XMRig- mijnwerker in te zetten. Onderzoekers hebben de ongebruikelijke verfijning van deze cryptomining-aanvallen onderstreept door rapporten met hun bevindingen vrij te geven. Tot nu toe hebben de experts de activiteit echter niet toegeschreven aan bekende dreigingsactoren, noch hebben ze details over doelwitten/slachtoffers onthuld, dus de oorsprong en reikwijdte van de campagne blijven onbekend.
Inhoudsopgave
De GhostEngine-malware begint zijn aanval door zich voor te doen als een legitiem bestand
De initiële methode van de serverinbraak blijft onduidelijk, maar de aanval begint met de uitvoering van een bestand met de naam 'Tiworker.exe', dat zich voordoet als een legitiem Windows-bestand. Dit uitvoerbare bestand dient als de initiële staging-payload voor GhostEngine, een PowerShell-script dat is ontworpen om verschillende modules te downloaden voor verschillende schadelijke activiteiten op het geïnfecteerde apparaat.
Bij uitvoering downloadt Tiworker.exe een PowerShell-script met de naam 'get.png' van de Command-and-Control (C2)-server van de aanvaller, die fungeert als de primaire lader voor GhostEngine. Dit script haalt extra modules en hun configuraties op, schakelt Windows Defender uit, schakelt externe services in en wist verschillende Windows-gebeurtenislogboeken.
Vervolgens controleert get.png of er minimaal 10 MB vrije ruimte op het systeem is, een vereiste om de infectie te bevorderen, en maakt geplande taken aan met de namen 'OneDriveCloudSync', 'DefaultBrowserUpdate' en 'OneDriveCloudBackup' om persistentie te garanderen.
De GhostEngine-malware kan beveiligingssoftware op de apparaten van slachtoffers uitschakelen
Het PowerShell-script gaat verder met het downloaden en uitvoeren van een uitvoerbaar bestand met de naam smartsscreen.exe, dat dient als de primaire payload van GhostEngine. Deze malware is belast met het beëindigen en verwijderen van Endpoint Detection and Response (EDR)-software en het downloaden en starten van XMRig om cryptocurrency te minen. Om EDR-software uit te schakelen, gebruikt GhostEngine twee kwetsbare kernelstuurprogramma's: aswArPots.sys (een Avast-stuurprogramma) om EDR-processen te beëindigen en IObitUnlockers.sys (een IObit-stuurprogramma) om de overeenkomstige uitvoerbare bestanden te verwijderen.
Voor persistentie wordt een DLL met de naam 'oci.dll' geladen door een Windows-service met de naam 'msdtc'. Bij activering downloadt deze DLL een nieuwe kopie van 'get.png' om de nieuwste versie van GhostEngine op de machine te installeren.
Gezien de mogelijkheid dat aan elk slachtoffer een unieke portemonnee wordt toegewezen, kunnen de financiële voordelen van de GhostEngine-malwareaanvallen aanzienlijk zijn.
Aanbevolen beveiligingsmaatregelen tegen de GhostEngine Miner-malware
Onderzoekers raden aan dat verdedigers waakzaam blijven voor indicatoren zoals verdachte PowerShell-uitvoeringen, ongebruikelijke procesactiviteiten en netwerkverkeer dat is gericht op cryptocurrency-mijnpools. Bovendien moeten de inzet van kwetsbare stuurprogramma's en de creatie van bijbehorende kernelmodusdiensten in elk systeem als belangrijke waarschuwingssignalen worden beschouwd. Als proactieve maatregel kan het blokkeren van het maken van bestanden door kwetsbare stuurprogramma's, zoals aswArPots.sys en IobitUnlockers.sys, deze bedreigingen helpen beperken.
