มัลแวร์ GhostEngine
พบแคมเปญการโจมตีการขุด crypto ชื่อรหัส REF4578 ใช้งานเพย์โหลดที่เป็นอันตรายชื่อ GhostEngine มัลแวร์มีความสามารถในการใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่เพื่อปิดผลิตภัณฑ์รักษาความปลอดภัยและปรับใช้ XMRig miner นักวิจัยได้เน้นย้ำความซับซ้อนที่ผิดปกติของการโจมตีการขุด crypto เหล่านี้โดยเผยแพร่รายงานพร้อมข้อค้นพบของพวกเขา อย่างไรก็ตาม จนถึงขณะนี้ ผู้เชี่ยวชาญยังไม่ได้ระบุกิจกรรมดังกล่าวว่าเป็นของผู้ก่อภัยคุกคามใดๆ ที่ทราบ และไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับเป้าหมาย/เหยื่อ ดังนั้นจึงยังไม่ทราบที่มาและขอบเขตของแคมเปญ
สารบัญ
มัลแวร์ GhostEngine เริ่มการโจมตีโดยปลอมตัวเป็นไฟล์ที่ถูกต้องตามกฎหมาย
วิธีการเริ่มต้นของการละเมิดเซิร์ฟเวอร์ยังไม่ชัดเจน แต่การโจมตีเริ่มต้นด้วยการดำเนินการของไฟล์ชื่อ 'Tiworker.exe' ซึ่งถือเป็นไฟล์ Windows ที่ถูกต้องตามกฎหมาย ไฟล์ปฏิบัติการนี้ทำหน้าที่เป็นเพย์โหลดเริ่มต้นสำหรับ GhostEngine ซึ่งเป็นสคริปต์ PowerShell ที่ออกแบบมาเพื่อดาวน์โหลดโมดูลต่างๆ สำหรับกิจกรรมที่เป็นอันตรายต่างๆ บนอุปกรณ์ที่ติดไวรัส
เมื่อดำเนินการ Tiworker.exe จะดาวน์โหลดสคริปต์ PowerShell ชื่อ 'get.png' จากเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี โดยทำหน้าที่เป็นตัวโหลดหลักสำหรับ GhostEngine สคริปต์นี้จะเรียกโมดูลเพิ่มเติมและการกำหนดค่า ปิดการใช้งาน Windows Defender เปิดใช้งานบริการระยะไกล และล้างบันทึกเหตุการณ์ Windows ต่างๆ
จากนั้น get.png จะตรวจสอบพื้นที่ว่างในระบบอย่างน้อย 10MB ซึ่งเป็นข้อกำหนดสำหรับการติดไวรัส และสร้างงานที่กำหนดเวลาไว้ชื่อ 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' และ 'OneDriveCloudBackup' เพื่อให้มั่นใจถึงความคงอยู่
มัลแวร์ GhostEngine สามารถปิดซอฟต์แวร์รักษาความปลอดภัยบนอุปกรณ์ของเหยื่อได้
สคริปต์ PowerShell จะดำเนินการดาวน์โหลดและเรียกใช้งานไฟล์ปฏิบัติการชื่อ smartsscreen.exe ซึ่งทำหน้าที่เป็นเพย์โหลดหลักของ GhostEngine มัลแวร์นี้ได้รับมอบหมายให้ยุติและลบซอฟต์แวร์ Endpoint Detection and Response (EDR) และดาวน์โหลดและเปิดใช้ XMRig เพื่อขุด cryptocurrency หากต้องการปิดใช้งานซอฟต์แวร์ EDR นั้น GhostEngine จะใช้ไดรเวอร์เคอร์เนลที่มีช่องโหว่สองตัว ได้แก่ aswArPots.sys (ไดรเวอร์ Avast) เพื่อยุติกระบวนการ EDR และ IObitUnlockers.sys (ไดรเวอร์ IObit) เพื่อลบไฟล์ปฏิบัติการที่เกี่ยวข้อง
เพื่อความคงอยู่ DLL ชื่อ 'oci.dll' จะถูกโหลดโดยบริการ Windows ที่เรียกว่า 'msdtc' เมื่อเปิดใช้งาน DLL นี้จะดาวน์โหลดสำเนาใหม่ของ 'get.png' เพื่อติดตั้ง GhostEngine เวอร์ชันล่าสุดบนเครื่อง
เมื่อพิจารณาถึงความเป็นไปได้ที่เหยื่อแต่ละรายอาจได้รับกระเป๋าสตางค์ที่ไม่ซ้ำกัน ผลประโยชน์ทางการเงินจากการโจมตีของมัลแวร์ GhostEngine จึงอาจมีจำนวนมาก
มาตรการรักษาความปลอดภัยที่แนะนำเพื่อต่อต้านมัลแวร์ GhostEngine Miner
นักวิจัยแนะนำให้ผู้ปกป้องยังคงระมัดระวังตัวบ่งชี้ต่างๆ เช่น การดำเนินการ PowerShell ที่น่าสงสัย กิจกรรมกระบวนการที่ผิดปกติ และการรับส่งข้อมูลเครือข่ายที่มุ่งตรงไปยังกลุ่มการขุดสกุลเงินดิจิทัล นอกจากนี้ การใช้งานไดรเวอร์ที่มีช่องโหว่และการสร้างบริการโหมดเคอร์เนลที่เกี่ยวข้องควรถือเป็นสัญญาณเตือนที่สำคัญในทุกระบบ มาตรการเชิงรุก การบล็อกการสร้างไฟล์จากไดรเวอร์ที่มีช่องโหว่ เช่น aswArPots.sys และ IobitUnlockers.sys สามารถช่วยบรรเทาภัยคุกคามเหล่านี้ได้
