GhostEngine Malware
Natuklasan ang isang kampanya sa pag-atake ng crypto mining na may codename na REF4578 na nagde-deploy ng nagbabantang payload na pinangalanang GhostEngine. Ang malware ay may kakayahang pagsamantalahan ang mga mahihinang driver upang i-off ang mga produkto ng seguridad at mag-deploy ng isang minero ng XMRig . Sinalungguhitan ng mga mananaliksik ang hindi pangkaraniwang pagiging sopistikado ng mga pag-atake ng crypto-mining na ito sa pamamagitan ng paglalabas ng mga ulat kasama ng kanilang mga natuklasan. Gayunpaman, sa ngayon, hindi iniuugnay ng mga eksperto ang aktibidad sa sinumang kilalang aktor ng pagbabanta at hindi rin sila nagsiwalat ng anumang mga detalye tungkol sa mga target/biktima, kaya nananatiling hindi alam ang pinagmulan at saklaw ng kampanya.
Talaan ng mga Nilalaman
Sinimulan ng GhostEngine Malware ang Pag-atake nito sa pamamagitan ng pagpapanggap bilang isang Lehitimong File
Ang paunang paraan ng paglabag sa server ay nananatiling hindi malinaw, ngunit ang pag-atake ay nagsisimula sa pagpapatupad ng isang file na pinangalanang 'Tiworker.exe,' na nagpapanggap bilang isang lehitimong Windows file. Ang executable na ito ay nagsisilbing paunang staging payload para sa GhostEngine, isang PowerShell script na idinisenyo upang mag-download ng iba't ibang module para sa iba't ibang nakakapinsalang aktibidad sa nahawaang device.
Sa pagpapatupad, ang Tiworker.exe ay nagda-download ng PowerShell script na pinangalanang 'get.png' mula sa Command-and-Control (C2) server ng attacker, na kumikilos bilang pangunahing loader para sa GhostEngine. Kinukuha ng script na ito ang mga karagdagang module at ang mga configuration ng mga ito, hindi pinapagana ang Windows Defender, pinapagana ang mga malayuang serbisyo at ki-clear ang iba't ibang log ng kaganapan sa Windows.
Kasunod nito, ang get.png ay tumitingin ng hindi bababa sa 10MB na libreng espasyo sa system, isang kinakailangan para sa pagsulong ng impeksyon, at lumilikha ng mga naka-iskedyul na gawain na pinangalanang 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' at 'OneDriveCloudBackup' upang matiyak ang pagtitiyaga.
Maaaring I-shut Down ng GhostEngine Malware ang Security Software sa Mga Device ng Mga Biktima
Ang PowerShell script ay nagpapatuloy sa pag-download at pag-execute ng isang executable na pinangalanang smartsscreen.exe, na nagsisilbing pangunahing payload ng GhostEngine. Ang malware na ito ay may tungkulin sa pagwawakas at pagtanggal ng Endpoint Detection and Response (EDR) software at pag-download at paglulunsad ng XMRig para minahan ng cryptocurrency. Para i-disable ang EDR software, ang GhostEngine ay gumagamit ng dalawang vulnerable kernel driver: aswArPots.sys (isang Avast driver) para wakasan ang mga proseso ng EDR at IObitUnlockers.sys (isang IObit driver) para tanggalin ang mga kaukulang executable.
Para sa pagtitiyaga, ang isang DLL na pinangalanang 'oci.dll' ay nilo-load ng isang serbisyo ng Windows na tinatawag na 'msdtc.' Sa pag-activate, ang DLL na ito ay nagda-download ng bagong kopya ng 'get.png' upang i-install ang pinakabagong bersyon ng GhostEngine sa makina.
Dahil sa posibilidad na ang bawat biktima ay maaaring mabigyan ng kakaibang pitaka, ang mga kita sa pananalapi mula sa mga pag-atake ng malware ng GhostEngine ay maaaring malaki.
Inirerekomendang Mga Panukala sa Seguridad laban sa GhostEngine Miner Malware
Inirerekomenda ng mga mananaliksik na ang mga tagapagtanggol ay manatiling mapagbantay para sa mga tagapagpahiwatig tulad ng mga kahina-hinalang pagpapatupad ng PowerShell, mga hindi pangkaraniwang aktibidad sa proseso, at trapiko sa network na nakadirekta sa mga pool ng pagmimina ng cryptocurrency. Higit pa rito, ang pag-deploy ng mga masusugatan na driver at ang paglikha ng mga nauugnay na serbisyo ng kernel mode ay dapat ituring bilang makabuluhang mga palatandaan ng babala sa anumang sistema. Bilang isang proactive na panukala, ang pagharang sa paggawa ng mga file mula sa mga masusugatan na driver, gaya ng aswArPots.sys at IobitUnlockers.sys, ay maaaring makatulong na mabawasan ang mga banta na ito.
