Вредоносное ПО GhostEngine
Была обнаружена кампания по атаке на майнинг криптовалют под кодовым названием REF4578, использующая угрожающую полезную нагрузку под названием GhostEngine. Вредоносное ПО способно использовать уязвимые драйверы для отключения продуктов безопасности и развертывания майнера XMRig . Исследователи подчеркнули необычайную сложность этих атак с использованием криптомайнинга, опубликовав отчеты со своими выводами. Однако до сих пор эксперты не приписали эту деятельность каким-либо известным субъектам угроз и не раскрыли никаких подробностей о целях/жертвах, поэтому происхождение и масштабы кампании остаются неизвестными.
Оглавление
Вредоносная программа GhostEngine начинает свою атаку, выдавая себя за подлинный файл
Первоначальный метод взлома сервера остается неясным, но атака начинается с запуска файла с именем «Tiworker.exe», который выдает себя за законный файл Windows. Этот исполняемый файл служит начальной промежуточной полезной нагрузкой для GhostEngine — сценария PowerShell, предназначенного для загрузки различных модулей для различных вредоносных действий на зараженном устройстве.
После выполнения Tiworker.exe загружает сценарий PowerShell с именем get.png с сервера управления и контроля (C2) злоумышленника, выступая в качестве основного загрузчика GhostEngine. Этот сценарий извлекает дополнительные модули и их конфигурации, отключает Защитник Windows, включает удаленные службы и очищает различные журналы событий Windows.
Впоследствии get.png проверяет наличие как минимум 10 МБ свободного места в системе, что необходимо для дальнейшего заражения, и создает запланированные задачи с именами «OneDriveCloudSync», «DefaultBrowserUpdate» и «OneDriveCloudBackup» для обеспечения устойчивости.
Вредоносное ПО GhostEngine может отключать защитное ПО на устройствах жертв
Сценарий PowerShell загружает и выполняет исполняемый файл с именем smartsscreen.exe, который служит основной полезной нагрузкой GhostEngine. Задача этого вредоносного ПО — завершить работу и удалить программное обеспечение Endpoint Detection and Response (EDR), а также загрузить и запустить XMRig для майнинга криптовалюты. Чтобы отключить программное обеспечение EDR, GhostEngine использует два уязвимых драйвера ядра: aswArPots.sys (драйвер Avast) для завершения процессов EDR и IObitUnlockers.sys (драйвер IObit) для удаления соответствующих исполняемых файлов.
Для обеспечения устойчивости библиотека DLL с именем «oci.dll» загружается службой Windows под названием «msdtc». После активации эта DLL загружает новую копию get.png для установки на компьютер последней версии GhostEngine.
Учитывая возможность того, что каждой жертве может быть присвоен уникальный кошелек, финансовая выгода от атак вредоносного ПО GhostEngine может быть существенной.
Рекомендуемые меры безопасности против вредоносного ПО GhostEngine Miner
Исследователи рекомендуют защитникам сохранять бдительность в отношении таких индикаторов, как подозрительное выполнение PowerShell, необычные действия процессов и сетевой трафик, направленный на пулы добычи криптовалюты. Более того, развертывание уязвимых драйверов и создание связанных с ними служб режима ядра следует рассматривать как важные предупреждающие знаки в любой системе. В качестве превентивной меры блокирование создания файлов уязвимыми драйверами, такими как aswArPots.sys и IobitUnlockers.sys, может помочь уменьшить эти угрозы.
