GhostEngine ਮਾਲਵੇਅਰ
ਇੱਕ ਕ੍ਰਿਪਟੋ ਮਾਈਨਿੰਗ ਅਟੈਕ ਮੁਹਿੰਮ ਕੋਡਨੇਮ REF4578 ਖੋਜੀ ਗਈ ਹੈ ਜੋ GhostEngine ਨਾਮਕ ਇੱਕ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਨੂੰ ਬੰਦ ਕਰਨ ਅਤੇ ਇੱਕ XMRig ਮਾਈਨਰ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਲਈ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਆਪਣੀਆਂ ਖੋਜਾਂ ਨਾਲ ਰਿਪੋਰਟਾਂ ਜਾਰੀ ਕਰਕੇ ਇਹਨਾਂ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਹਮਲਿਆਂ ਦੀ ਅਸਾਧਾਰਨ ਸੂਝ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕੀਤਾ ਹੈ। ਹਾਲਾਂਕਿ, ਹੁਣ ਤੱਕ, ਮਾਹਿਰਾਂ ਨੇ ਕਿਸੇ ਵੀ ਜਾਣੇ-ਪਛਾਣੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਗਤੀਵਿਧੀ ਦਾ ਕਾਰਨ ਨਹੀਂ ਦਿੱਤਾ ਹੈ ਅਤੇ ਨਾ ਹੀ ਉਨ੍ਹਾਂ ਨੇ ਟੀਚਿਆਂ/ਪੀੜਤਾਂ ਬਾਰੇ ਕੋਈ ਵੇਰਵੇ ਪ੍ਰਗਟ ਕੀਤੇ ਹਨ, ਇਸਲਈ ਮੁਹਿੰਮ ਦੀ ਸ਼ੁਰੂਆਤ ਅਤੇ ਦਾਇਰੇ ਅਣਜਾਣ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
GhostEngine ਮਾਲਵੇਅਰ ਇੱਕ ਜਾਇਜ਼ ਫਾਈਲ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਆਪਣਾ ਹਮਲਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ
ਸਰਵਰ ਦੀ ਉਲੰਘਣਾ ਦਾ ਸ਼ੁਰੂਆਤੀ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਹੈ, ਪਰ ਹਮਲਾ 'Tiworker.exe' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਫਾਈਲ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੀ ਹੈ। ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ GhostEngine ਲਈ ਸ਼ੁਰੂਆਤੀ ਸਟੇਜਿੰਗ ਪੇਲੋਡ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਜੋ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਵੱਖ-ਵੱਖ ਹਾਨੀਕਾਰਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਵੱਖ-ਵੱਖ ਮਾਡਿਊਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।
ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, Tiworker.exe ਹਮਲਾਵਰ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ 'get.png' ਨਾਮ ਦੀ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ, GhostEngine ਲਈ ਪ੍ਰਾਇਮਰੀ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਵਾਧੂ ਮੋਡੀਊਲ ਅਤੇ ਉਹਨਾਂ ਦੀਆਂ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ, ਵਿੰਡੋਜ਼ ਡਿਫੈਂਡਰ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਰਿਮੋਟ ਸੇਵਾਵਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ ਅਤੇ ਕਈ ਵਿੰਡੋਜ਼ ਇਵੈਂਟ ਲੌਗਾਂ ਨੂੰ ਸਾਫ਼ ਕਰਦੀ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, get.png ਸਿਸਟਮ 'ਤੇ ਘੱਟੋ-ਘੱਟ 10MB ਖਾਲੀ ਥਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਲਾਗ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਇੱਕ ਲੋੜ, ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' ਅਤੇ 'OneDriveCloudBackup' ਨਾਮਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾਉਂਦਾ ਹੈ।
GhostEngine ਮਾਲਵੇਅਰ ਪੀੜਤਾਂ ਦੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਨੂੰ ਬੰਦ ਕਰ ਸਕਦਾ ਹੈ
PowerShell ਸਕ੍ਰਿਪਟ smartsscreen.exe ਨਾਮਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਅੱਗੇ ਵਧਦੀ ਹੈ, ਜੋ ਕਿ GhostEngine ਦੇ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਸੌਫਟਵੇਅਰ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਮਿਟਾਉਣ ਅਤੇ XMRig ਨੂੰ ਮਾਈਨ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਲਾਂਚ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ। EDR ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਸਮਰੱਥ ਕਰਨ ਲਈ, GhostEngine ਦੋ ਕਮਜ਼ੋਰ ਕਰਨਲ ਡਰਾਈਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ: EDR ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ aswArPots.sys (ਇੱਕ ਅਵਾਸਟ ਡਰਾਈਵਰ) ਅਤੇ ਸੰਬੰਧਿਤ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਮਿਟਾਉਣ ਲਈ IObitUnlockers.sys (ਇੱਕ IObit ਡਰਾਈਵਰ)।
ਸਥਿਰਤਾ ਲਈ, 'oci.dll' ਨਾਮਕ ਇੱਕ DLL ਨੂੰ 'msdtc' ਨਾਮ ਦੀ ਵਿੰਡੋਜ਼ ਸੇਵਾ ਦੁਆਰਾ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਇਹ DLL ਮਸ਼ੀਨ 'ਤੇ GhostEngine ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ 'get.png' ਦੀ ਇੱਕ ਤਾਜ਼ਾ ਕਾਪੀ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਇਸ ਸੰਭਾਵਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ ਕਿ ਹਰੇਕ ਪੀੜਤ ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ ਵਾਲਿਟ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ, GhostEngine ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਤੋਂ ਵਿੱਤੀ ਲਾਭ ਕਾਫ਼ੀ ਹੋ ਸਕਦਾ ਹੈ।
GhostEngine Miner Malware ਦੇ ਵਿਰੁੱਧ ਸਿਫ਼ਾਰਿਸ਼ ਕੀਤੇ ਸੁਰੱਖਿਆ ਉਪਾਅ
ਖੋਜਕਰਤਾਵਾਂ ਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਹੈ ਕਿ ਡਿਫੈਂਡਰ ਸ਼ੱਕੀ PowerShell ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਅਸਧਾਰਨ ਪ੍ਰਕਿਰਿਆ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ, ਅਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਪੂਲ ਵੱਲ ਸੇਧਿਤ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਵਰਗੇ ਸੰਕੇਤਾਂ ਲਈ ਚੌਕਸ ਰਹਿਣ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦੀ ਤੈਨਾਤੀ ਅਤੇ ਸੰਬੰਧਿਤ ਕਰਨਲ ਮੋਡ ਸੇਵਾਵਾਂ ਦੀ ਸਿਰਜਣਾ ਨੂੰ ਕਿਸੇ ਵੀ ਸਿਸਟਮ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਚੇਤਾਵਨੀ ਸੰਕੇਤ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਇੱਕ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਦੇ ਤੌਰ 'ਤੇ, ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ, ਜਿਵੇਂ ਕਿ aswArPots.sys ਅਤੇ IobitUnlockers.sys ਤੋਂ ਫਾਈਲਾਂ ਦੀ ਰਚਨਾ ਨੂੰ ਰੋਕਣਾ, ਇਹਨਾਂ ਖਤਰਿਆਂ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦਾ ਹੈ।
