GhostEngine மால்வேர்
REF4578 என்ற குறியீட்டுப் பெயரிடப்பட்ட கிரிப்டோ சுரங்கத் தாக்குதல் பிரச்சாரமானது GhostEngine என்ற பெயரிடப்பட்ட அச்சுறுத்தும் பேலோடைப் பயன்படுத்துவதைக் கண்டறிந்துள்ளது. தீம்பொருள் பாதுகாப்பு தயாரிப்புகளை அணைக்க மற்றும் ஒரு XMRig மைனரை வரிசைப்படுத்த, பாதிக்கப்படக்கூடிய இயக்கிகளை சுரண்டும் திறன் கொண்டது. ஆராய்ச்சியாளர்கள் தங்கள் கண்டுபிடிப்புகளுடன் அறிக்கைகளை வெளியிடுவதன் மூலம் இந்த கிரிப்டோ-சுரங்கத் தாக்குதல்களின் அசாதாரண நுட்பத்தை அடிக்கோடிட்டுக் காட்டியுள்ளனர். இருப்பினும், இதுவரை, வல்லுநர்கள் எந்தவொரு அச்சுறுத்தல் நடிகர்களுக்கும் இந்த செயல்பாட்டைக் காரணம் கூறவில்லை அல்லது அவர்கள் இலக்குகள்/பாதிக்கப்பட்டவர்கள் பற்றிய எந்த விவரங்களையும் வெளியிடவில்லை, எனவே பிரச்சாரத்தின் தோற்றம் மற்றும் நோக்கம் தெரியவில்லை.
பொருளடக்கம்
GhostEngine மால்வேர் ஒரு முறையான கோப்பாக காட்டி அதன் தாக்குதலைத் தொடங்குகிறது
சேவையக மீறலின் ஆரம்ப முறை தெளிவாக இல்லை, ஆனால் தாக்குதல் 'Tiworker.exe' என்ற பெயரிடப்பட்ட கோப்பை செயல்படுத்துவதன் மூலம் தொடங்குகிறது, இது ஒரு முறையான விண்டோஸ் கோப்பாக உள்ளது. இந்த இயங்கக்கூடியது GhostEngine க்கான ஆரம்ப நிலை பேலோடாக செயல்படுகிறது, இது ஒரு PowerShell ஸ்கிரிப்ட், பாதிக்கப்பட்ட சாதனத்தில் பல்வேறு தீங்கு விளைவிக்கும் செயல்களுக்காக பல்வேறு தொகுதிகளை பதிவிறக்கம் செய்ய வடிவமைக்கப்பட்டுள்ளது.
செயல்படுத்தப்பட்டவுடன், Tiworker.exe ஆனது தாக்குபவர்களின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து 'get.png' என்ற பவர்ஷெல் ஸ்கிரிப்டை பதிவிறக்குகிறது, GhostEngine க்கான முதன்மை ஏற்றியாக செயல்படுகிறது. இந்த ஸ்கிரிப்ட் கூடுதல் தொகுதிகள் மற்றும் அவற்றின் உள்ளமைவுகளை மீட்டெடுக்கிறது, விண்டோஸ் டிஃபென்டரை முடக்குகிறது, தொலைநிலை சேவைகளை இயக்குகிறது மற்றும் பல்வேறு விண்டோஸ் நிகழ்வு பதிவுகளை அழிக்கிறது.
பின்னர், get.png கணினியில் குறைந்தபட்சம் 10MB இலவச இடத்தைச் சரிபார்க்கிறது, இது நோய்த்தொற்றை மேம்படுத்துவதற்கான தேவையாகும், மேலும் நிலைத்தன்மையை உறுதிசெய்ய 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' மற்றும் 'OneDriveCloudBackup' என பெயரிடப்பட்ட திட்டமிடப்பட்ட பணிகளை உருவாக்குகிறது.
GhostEngine மால்வேர் பாதிக்கப்பட்டவர்களின் சாதனங்களில் பாதுகாப்பு மென்பொருளை முடக்கலாம்
பவர்ஷெல் ஸ்கிரிப்ட், GhostEngine இன் முதன்மை பேலோடாக செயல்படும் smartsscreen.exe என்ற இயங்கக்கூடிய செயலியை பதிவிறக்கம் செய்து செயல்படுத்துகிறது. இந்த தீம்பொருள் இறுதிப்புள்ளி கண்டறிதல் மற்றும் மறுமொழி (EDR) மென்பொருளை நிறுத்துதல் மற்றும் நீக்குதல் மற்றும் மைன் கிரிப்டோகரன்சிக்கு XMRig ஐ பதிவிறக்கம் செய்து தொடங்குதல் ஆகியவற்றில் பணிபுரிகிறது. EDR மென்பொருளை முடக்க, GhostEngine இரண்டு பாதிக்கப்படக்கூடிய கர்னல் இயக்கிகளைப் பயன்படுத்துகிறது: EDR செயல்முறைகளை நிறுத்த aswArPots.sys (ஒரு அவாஸ்ட் இயக்கி) மற்றும் தொடர்புடைய செயல்படுத்தக்கூடியவற்றை நீக்க IObitUnlockers.sys (ஒரு IObit இயக்கி).
நிலைத்திருப்பதற்கு, 'oci.dll' என்ற பெயரிடப்பட்ட DLL ஆனது 'msdtc' எனப்படும் விண்டோஸ் சேவையால் ஏற்றப்படுகிறது. செயல்படுத்தப்பட்டதும், இந்த DLL ஆனது GhostEngine இன் சமீபத்திய பதிப்பை கணினியில் நிறுவ 'get.png' இன் புதிய நகலை பதிவிறக்குகிறது.
பாதிக்கப்பட்ட ஒவ்வொருவருக்கும் ஒரு தனிப்பட்ட பணப்பை ஒதுக்கப்படும் சாத்தியம் இருப்பதால், GhostEngine மால்வேர் தாக்குதல்களின் நிதி ஆதாயங்கள் கணிசமானதாக இருக்கலாம்.
GhostEngine Miner மால்வேருக்கு எதிராகப் பரிந்துரைக்கப்பட்ட பாதுகாப்பு நடவடிக்கைகள்
சந்தேகத்திற்கிடமான பவர்ஷெல் செயல்படுத்தல்கள், அசாதாரண செயல்முறை நடவடிக்கைகள் மற்றும் கிரிப்டோகரன்சி சுரங்கக் குளங்களை நோக்கிய நெட்வொர்க் போக்குவரத்து போன்ற குறிகாட்டிகளுக்கு பாதுகாவலர்கள் விழிப்புடன் இருக்க வேண்டும் என்று ஆராய்ச்சியாளர்கள் பரிந்துரைக்கின்றனர். மேலும், பாதிக்கப்படக்கூடிய இயக்கிகளின் வரிசைப்படுத்தல் மற்றும் தொடர்புடைய கர்னல் பயன்முறை சேவைகளை உருவாக்குதல் ஆகியவை எந்தவொரு அமைப்பிலும் குறிப்பிடத்தக்க எச்சரிக்கை அறிகுறிகளாக கருதப்பட வேண்டும். ஒரு செயலூக்கமான நடவடிக்கையாக, aswArPots.sys மற்றும் IobitUnlockers.sys போன்ற பாதிக்கப்படக்கூடிய இயக்கிகளிடமிருந்து கோப்புகளை உருவாக்குவதைத் தடுப்பது, இந்த அச்சுறுத்தல்களைத் தணிக்க உதவும்.
