GhostEngine Kötü Amaçlı Yazılım
REF4578 kod adlı bir kripto madenciliği saldırı kampanyasının GhostEngine adlı tehditkar bir yükü dağıttığı keşfedildi. Kötü amaçlı yazılım, güvenlik ürünlerini kapatmak ve bir XMRig madencisini dağıtmak için savunmasız sürücülerden yararlanma yeteneğine sahiptir. Araştırmacılar, bulgularını içeren raporlar yayınlayarak bu kripto madenciliği saldırılarının alışılmadık karmaşıklığının altını çizdiler. Ancak şu ana kadar uzmanlar bu faaliyeti bilinen herhangi bir tehdit aktörüne bağlamadığı veya hedefler/kurbanlar hakkında herhangi bir ayrıntı açıklamadığı için kampanyanın kaynağı ve kapsamı bilinmiyor.
İçindekiler
GhostEngine Kötü Amaçlı Yazılımı, Yasal Bir Dosya Gibi Görünerek Saldırısına Başlıyor
Sunucu ihlalinin ilk yöntemi belirsizliğini koruyor ancak saldırı, meşru bir Windows dosyası gibi görünen 'Tiworker.exe' adlı bir dosyanın yürütülmesiyle başlıyor. Bu yürütülebilir dosya, virüslü cihazdaki farklı zararlı etkinlikler için çeşitli modüller indirmek üzere tasarlanmış bir PowerShell betiği olan GhostEngine için ilk hazırlama yükü olarak hizmet eder.
Çalıştırıldıktan sonra Tiworker.exe, saldırganın Komuta ve Kontrol (C2) sunucusundan 'get.png' adlı bir PowerShell betiği indirir ve GhostEngine için birincil yükleyici görevi görür. Bu komut dosyası ek modülleri ve bunların yapılandırmalarını alır, Windows Defender'ı devre dışı bırakır, uzak hizmetleri etkinleştirir ve çeşitli Windows olay günlüklerini temizler.
Daha sonra get.png, bulaşmayı ilerletmek için bir gereklilik olan sistemde en az 10 MB boş alan olup olmadığını kontrol eder ve kalıcılığı sağlamak için 'OneDriveCloudSync', 'DefaultBrowserUpdate' ve 'OneDriveCloudBackup' adlı zamanlanmış görevler oluşturur.
GhostEngine Kötü Amaçlı Yazılımı Kurbanların Cihazlarındaki Güvenlik Yazılımını Kapatabilir
PowerShell betiği, GhostEngine'in birincil yükü olarak hizmet veren smartsscreen.exe adlı yürütülebilir dosyayı indirip çalıştırmaya devam eder. Bu kötü amaçlı yazılımın görevi, Uç Nokta Tespit ve Yanıt (EDR) yazılımını sonlandırmak ve silmek ve kripto para madenciliği için XMRig'i indirip başlatmaktır. GhostEngine, EDR yazılımını devre dışı bırakmak için iki savunmasız çekirdek sürücüsü kullanır: EDR işlemlerini sonlandırmak için aswArPots.sys (bir Avast sürücüsü) ve ilgili yürütülebilir dosyaları silmek için IObitUnlockers.sys (bir IObit sürücüsü).
Kalıcılık sağlamak için 'oci.dll' adlı bir DLL, 'msdtc' adlı bir Windows hizmeti tarafından yüklenir. Etkinleştirme üzerine bu DLL, makineye GhostEngine'in en son sürümünü yüklemek için 'get.png' dosyasının yeni bir kopyasını indirir.
Her kurbana benzersiz bir cüzdan atanabileceği ihtimali göz önüne alındığında, GhostEngine kötü amaçlı yazılım saldırılarından elde edilen mali kazançlar önemli olabilir.
GhostEngine Miner Kötü Amaçlı Yazılımına Karşı Önerilen Güvenlik Önlemleri
Araştırmacılar, savunucuların şüpheli PowerShell yürütmeleri, olağandışı süreç etkinlikleri ve kripto para madenciliği havuzlarına yönlendirilen ağ trafiği gibi göstergelere karşı dikkatli olmalarını öneriyor. Ayrıca, savunmasız sürücülerin dağıtımı ve ilgili çekirdek modu hizmetlerinin oluşturulması, herhangi bir sistemde önemli uyarı işaretleri olarak değerlendirilmelidir. Proaktif bir önlem olarak aswArPots.sys ve IobitUnlockers.sys gibi savunmasız sürücülerden dosya oluşturulmasının engellenmesi bu tehditlerin azaltılmasına yardımcı olabilir.
