Malvér GhostEngine
Bola objavená ťažobná kampaň s kódovým označením REF4578, ktorá využíva hrozivú užitočnú záťaž s názvom GhostEngine. Malvér je schopný zneužiť zraniteľné ovládače na vypnutie bezpečnostných produktov a nasadenie XMRig baníka. Výskumníci podčiarkli nezvyčajnú sofistikovanosť týchto útokov na ťažbu kryptomien zverejnením správ so svojimi zisteniami. Doposiaľ však experti túto aktivitu nepripísali žiadnym známym aktérom hrozby, ani nezverejnili žiadne podrobnosti o cieľoch/obetiach, takže pôvod a rozsah kampane zostáva neznámy.
Obsah
Malvér GhostEngine začína svoj útok tým, že sa vydáva za legitímny súbor
Počiatočná metóda narušenia servera zostáva nejasná, ale útok začína spustením súboru s názvom „Tiworker.exe“, ktorý sa tvári ako legitímny súbor Windows. Tento spustiteľný súbor slúži ako počiatočné pracovné zaťaženie pre GhostEngine, skript PowerShell navrhnutý na sťahovanie rôznych modulov pre rôzne škodlivé aktivity na infikovanom zariadení.
Po spustení Tiworker.exe stiahne skript PowerShell s názvom „get.png“ z útočníkovho servera Command-and-Control (C2), ktorý funguje ako primárny zavádzač pre GhostEngine. Tento skript načíta ďalšie moduly a ich konfigurácie, zakáže program Windows Defender, povolí vzdialené služby a vymaže rôzne denníky udalostí systému Windows.
Následne get.png skontroluje aspoň 10 MB voľného miesta v systéme, čo je požiadavka na šírenie infekcie, a vytvorí naplánované úlohy s názvom „OneDriveCloudSync“, „DefaultBrowserUpdate“ a „OneDriveCloudBackup“, aby sa zabezpečila trvalosť.
Malvér GhostEngine môže vypnúť bezpečnostný softvér na zariadeniach obetí
Skript PowerShell pokračuje v sťahovaní a spúšťaní spustiteľného súboru s názvom smartsscreen.exe, ktorý slúži ako primárna užitočná záťaž GhostEngine. Tento malvér má za úlohu ukončiť a odstrániť softvér Endpoint Detection and Response (EDR) a stiahnuť a spustiť XMRig na ťažbu kryptomeny. Na deaktiváciu softvéru EDR používa GhostEngine dva zraniteľné ovládače jadra: aswArPots.sys (ovládač Avast) na ukončenie procesov EDR a IObitUnlockers.sys (ovládač IObit) na odstránenie príslušných spustiteľných súborov.
Pre trvalosť je knižnica DLL s názvom „oci.dll“ načítaná službou systému Windows s názvom „msdtc“. Po aktivácii si táto knižnica DLL stiahne čerstvú kópiu 'get.png' na inštaláciu najnovšej verzie GhostEngine do počítača.
Vzhľadom na možnosť, že každej obeti môže byť pridelená jedinečná peňaženka, finančné zisky z útokov škodlivého softvéru GhostEngine môžu byť značné.
Odporúčané bezpečnostné opatrenia proti škodlivému softvéru GhostEngine Miner
Výskumníci odporúčajú, aby obrancovia zostali ostražití, pokiaľ ide o indikátory, ako sú podozrivé spustenia PowerShell, neobvyklé procesné aktivity a sieťová prevádzka smerujúca k fondom ťažby kryptomien. Okrem toho by sa nasadenie zraniteľných ovládačov a vytvorenie súvisiacich služieb režimu jadra malo považovať za významné varovné signály v akomkoľvek systéme. Ako proaktívne opatrenie môže blokovanie vytvárania súborov zo zraniteľných ovládačov, ako sú aswArPots.sys a IobitUnlockers.sys, pomôcť zmierniť tieto hrozby.
