Zlonamerna programska oprema GhostEngine
Odkrita je bila kampanja napada na kripto rudarjenje s kodnim imenom REF4578, ki uporablja nevarno koristno obremenitev z imenom GhostEngine. Zlonamerna programska oprema je sposobna izkoristiti ranljive gonilnike za izklop varnostnih izdelkov in uvedbo rudarja XMRig . Raziskovalci so poudarili nenavadno sofisticiranost teh napadov na kripto rudarjenje z objavo poročil s svojimi ugotovitvami. Vendar do zdaj strokovnjaki dejavnosti niso pripisali nobenemu znanemu akterju grožnje niti niso razkrili nobenih podrobnosti o tarčah/žrtvah, tako da izvor in obseg kampanje ostajata neznana.
Kazalo
Zlonamerna programska oprema GhostEngine začne svoj napad tako, da se predstavlja kot legitimna datoteka
Začetna metoda vdora v strežnik ostaja nejasna, vendar se napad začne z izvedbo datoteke z imenom 'Tiworker.exe', ki se predstavlja kot legitimna datoteka Windows. Ta izvršljiva datoteka služi kot začetni uprizoritveni tovor za GhostEngine, skript PowerShell, zasnovan za prenos različnih modulov za različne škodljive dejavnosti na okuženi napravi.
Po izvedbi Tiworker.exe prenese skript PowerShell z imenom 'get.png' iz napadalčevega strežnika za ukaze in nadzor (C2), ki deluje kot primarni nalagalnik za GhostEngine. Ta skript pridobi dodatne module in njihove konfiguracije, onemogoči Windows Defender, omogoči oddaljene storitve in počisti različne dnevnike dogodkov Windows.
Nato get.png preveri, ali je v sistemu vsaj 10 MB prostega prostora, kar je zahteva za napredovanje okužbe, in ustvari načrtovana opravila z imenom »OneDriveCloudSync,« »DefaultBrowserUpdate« in »OneDriveCloudBackup«, da zagotovi obstojnost.
Zlonamerna programska oprema GhostEngine lahko izklopi varnostno programsko opremo na napravah žrtev
Skript PowerShell nadaljuje s prenosom in izvajanjem izvedljive datoteke z imenom smartsscreen.exe, ki služi kot primarni tovor GhostEngine. Ta zlonamerna programska oprema je zadolžena za prekinitev in brisanje programske opreme za zaznavanje in odziv končne točke (EDR) ter prenos in zagon XMRig za rudarjenje kriptovalute. Za onemogočanje programske opreme EDR GhostEngine uporablja dva ranljiva gonilnika jedra: aswArPots.sys (gonilnik Avast) za prekinitev procesov EDR in IObitUnlockers.sys (gonilnik IObit) za brisanje ustreznih izvršljivih datotek.
Za obstojnost DLL z imenom »oci.dll« naloži storitev Windows z imenom »msdtc«. Po aktivaciji ta DLL prenese novo kopijo 'get.png' za namestitev najnovejše različice GhostEngine v stroj.
Glede na možnost, da se vsaki žrtvi dodeli edinstvena denarnica, so lahko finančni dobički zaradi napadov zlonamerne programske opreme GhostEngine precejšnji.
Priporočeni varnostni ukrepi proti zlonamerni programski opremi GhostEngine Miner
Raziskovalci priporočajo, da zagovorniki ostanejo pozorni na kazalnike, kot so sumljive izvedbe lupine PowerShell, neobičajne procesne dejavnosti in omrežni promet, usmerjen proti bazenom za rudarjenje kriptovalut. Poleg tega je treba uvajanje ranljivih gonilnikov in ustvarjanje povezanih storitev načina jedra obravnavati kot pomembne opozorilne znake v katerem koli sistemu. Kot proaktivni ukrep lahko blokiranje ustvarjanja datotek iz ranljivih gonilnikov, kot sta aswArPots.sys in IobitUnlockers.sys, pomaga ublažiti te grožnje.
