Złośliwe oprogramowanie GhostEngine
Odkryto kampanię ataków na wydobywanie kryptowalut o kryptonimie REF4578, w ramach której wdrażano groźny ładunek o nazwie GhostEngine. Szkodnik potrafi wykorzystywać podatne sterowniki w celu wyłączenia produktów zabezpieczających i wdrożenia koparki XMRig . Badacze podkreślili niezwykłe wyrafinowanie tych ataków związanych z wydobywaniem kryptowalut, publikując raporty zawierające swoje ustalenia. Jednak jak dotąd eksperci nie przypisali tego działania żadnym znanym ugrupowaniom zagrażającym ani nie ujawnili żadnych szczegółów na temat celów/ofiar, zatem pochodzenie i zakres kampanii pozostają nieznane.
Spis treści
Złośliwe oprogramowanie GhostEngine rozpoczyna atak, podszywając się pod legalny plik
Początkowa metoda włamania się na serwer pozostaje niejasna, ale atak rozpoczyna się od wykonania pliku o nazwie „Tiworker.exe”, który udaje prawidłowy plik systemu Windows. Ten plik wykonywalny służy jako początkowy ładunek przejściowy dla GhostEngine, skryptu PowerShell przeznaczonego do pobierania różnych modułów do różnych szkodliwych działań na zainfekowanym urządzeniu.
Po wykonaniu Tiworker.exe pobiera skrypt PowerShell o nazwie „get.png” z serwera dowodzenia i kontroli (C2) atakującego, pełniąc rolę głównego modułu ładującego dla GhostEngine. Skrypt ten pobiera dodatkowe moduły i ich konfiguracje, wyłącza program Windows Defender, włącza usługi zdalne i czyści różne dzienniki zdarzeń systemu Windows.
Następnie get.png sprawdza, czy w systemie jest co najmniej 10 MB wolnego miejsca, co jest wymagane do zaawansowanej infekcji, i tworzy zaplanowane zadania o nazwach „OneDriveCloudSync”, „DefaultBrowserUpdate” i „OneDriveCloudBackup”, aby zapewnić trwałość.
Złośliwe oprogramowanie GhostEngine może wyłączyć oprogramowanie zabezpieczające na urządzeniach ofiar
Skrypt PowerShell pobiera i wykonuje plik wykonywalny o nazwie smartsscreen.exe, który służy jako główny ładunek GhostEngine. Zadaniem tego złośliwego oprogramowania jest zamykanie i usuwanie oprogramowania Endpoint Detection and Response (EDR) oraz pobieranie i uruchamianie XMRig w celu wydobywania kryptowaluty. Aby wyłączyć oprogramowanie EDR, GhostEngine wykorzystuje dwa podatne na ataki sterowniki jądra: aswArPots.sys (sterownik Avast) do kończenia procesów EDR oraz IObitUnlockers.sys (sterownik IObit) do usuwania odpowiednich plików wykonywalnych.
Aby zapewnić trwałość, biblioteka DLL o nazwie „oci.dll” jest ładowana przez usługę systemu Windows o nazwie „msdtc”. Po aktywacji ta biblioteka DLL pobiera nową kopię pliku „get.png”, aby zainstalować najnowszą wersję GhostEngine na komputerze.
Biorąc pod uwagę możliwość przypisania każdej ofierze unikalnego portfela, zyski finansowe z ataków złośliwym oprogramowaniem GhostEngine mogą być znaczne.
Zalecane środki bezpieczeństwa przed złośliwym oprogramowaniem GhostEngine Miner
Badacze zalecają, aby obrońcy zachowywali czujność pod kątem wskaźników, takich jak podejrzane wykonania programu PowerShell, nietypowe działania procesów i ruch sieciowy skierowany w stronę basenów wydobywających kryptowaluty. Co więcej, wdrożenie podatnych na ataki sterowników i utworzenie powiązanych usług trybu jądra należy traktować jako istotne sygnały ostrzegawcze w każdym systemie. Jako środek proaktywny, blokowanie tworzenia plików z podatnych na ataki sterowników, takich jak wArPots.sys i IobitUnlockers.sys, może pomóc w ograniczeniu tych zagrożeń.
