GhostEngine Malware
En kryptomining-attackkampanj med kodnamnet REF4578 har upptäckts som distribuerar en hotande nyttolast vid namn GhostEngine. Skadlig programvara kan utnyttja sårbara drivrutiner för att stänga av säkerhetsprodukter och distribuera en XMRig- gruvarbetare. Forskare har understrukit den ovanliga sofistikeringen av dessa kryptomining-attacker genom att släppa rapporter med sina resultat. Men hittills har experterna inte tillskrivit aktiviteten till några kända hotaktörer och inte heller avslöjat några detaljer om mål/offer, så kampanjens ursprung och omfattning förblir okända.
Innehållsförteckning
GhostEngine Malware börjar sin attack genom att posera som en legitim fil
Den initiala metoden för serverintrång är fortfarande oklart, men attacken börjar med exekveringen av en fil med namnet "Tiworker.exe", som utger sig som en legitim Windows-fil. Den här körbara filen fungerar som den initiala iscensättningsnyttolasten för GhostEngine, ett PowerShell-skript designat för att ladda ner olika moduler för olika skadliga aktiviteter på den infekterade enheten.
Vid körning laddar Tiworker.exe ner ett PowerShell-skript med namnet 'get.png' från angriparens Command-and-Control-server (C2), som fungerar som den primära laddaren för GhostEngine. Det här skriptet hämtar ytterligare moduler och deras konfigurationer, inaktiverar Windows Defender, aktiverar fjärrtjänster och rensar olika Windows-händelseloggar.
Därefter letar get.png efter minst 10 MB ledigt utrymme på systemet, ett krav för att föra infektionen framåt, och skapar schemalagda uppgifter med namnet 'OneDriveCloudSync', 'DefaultBrowserUpdate' och 'OneDriveCloudBackup' för att säkerställa beständighet.
GhostEngine Malware kan stänga av säkerhetsprogramvaran på offrens enheter
PowerShell-skriptet fortsätter med att ladda ner och köra en körbar fil med namnet smartsscreen.exe, som fungerar som GhostEngines primära nyttolast. Denna skadliga programvara har till uppgift att avsluta och ta bort Endpoint Detection and Response (EDR)-programvara och ladda ner och starta XMRig för att bryta kryptovaluta. För att inaktivera EDR-programvara använder GhostEngine två sårbara kärndrivrutiner: aswArPots.sys (en Avast-drivrutin) för att avsluta EDR-processer och IObitUnlockers.sys (en IObit-drivrutin) för att ta bort motsvarande körbara filer.
En DLL med namnet 'oci.dll' laddas av en Windows-tjänst som heter 'msdtc'. Vid aktivering laddar denna DLL ner en ny kopia av 'get.png' för att installera den senaste versionen av GhostEngine på maskinen.
Med tanke på möjligheten att varje offer kan tilldelas en unik plånbok, kan de ekonomiska vinsterna från GhostEngines skadliga attacker vara betydande.
Rekommenderade säkerhetsåtgärder mot GhostEngine Miner Malware
Forskare rekommenderar att försvarare förblir vaksamma för indikatorer som misstänkta PowerShell-avrättningar, ovanliga processaktiviteter och nätverkstrafik riktad mot cryptocurrency-gruvpooler. Dessutom bör utplacering av sårbara drivrutiner och skapandet av tillhörande kärnlägestjänster behandlas som betydande varningssignaler i alla system. Som en proaktiv åtgärd kan blockering av skapandet av filer från sårbara drivrutiner, såsom aswArPots.sys och IobitUnlockers.sys, hjälpa till att mildra dessa hot.
