Шкідливе програмне забезпечення GhostEngine
Було виявлено кампанію атаки на криптомайнінг під кодовою назвою REF4578, яка розгортає загрозливе корисне навантаження під назвою GhostEngine. Зловмисне програмне забезпечення здатне використовувати вразливі драйвери для відключення продуктів безпеки та розгортання майнера XMRig . Дослідники підкреслили незвичайну витонченість цих крипто-майнінг атак, опублікувавши звіти зі своїми висновками. Однак наразі експерти не приписували цю діяльність будь-яким відомим суб’єктам загрози, а також не розкрили жодних подробиць щодо цілей/жертв, тому походження та масштаби кампанії залишаються невідомими.
Зміст
Зловмисне програмне забезпечення GhostEngine починає свою атаку, видаючи себе за легітимний файл
Початковий метод зламу сервера залишається незрозумілим, але атака починається із запуску файлу під назвою "Tiworker.exe", який видається за законний файл Windows. Цей виконуваний файл служить початковим проміжним навантаженням для GhostEngine, сценарію PowerShell, призначеного для завантаження різних модулів для різних шкідливих дій на зараженому пристрої.
Після виконання Tiworker.exe завантажує сценарій PowerShell під назвою «get.png» із сервера зловмисника Command-and-Control (C2), діючи як основний завантажувач для GhostEngine. Цей сценарій отримує додаткові модулі та їх конфігурації, вимикає Windows Defender, умикає віддалені служби та очищає різні журнали подій Windows.
Згодом get.png перевіряє принаймні 10 МБ вільного місця в системі, що є вимогою для просування зараження, і створює заплановані завдання під назвами «OneDriveCloudSync», «DefaultBrowserUpdate» і «OneDriveCloudBackup», щоб забезпечити постійність.
Зловмисне програмне забезпечення GhostEngine може вимикати програмне забезпечення безпеки на пристроях жертв
Сценарій PowerShell завантажує та виконує виконуваний файл під назвою smartsscreen.exe, який є основним корисним навантаженням GhostEngine. Це зловмисне програмне забезпечення має завершити роботу та видалити програмне забезпечення Endpoint Detection and Response (EDR), а також завантажити та запустити XMRig для майнінгу криптовалюти. Щоб вимкнути програмне забезпечення EDR, GhostEngine використовує два вразливі драйвери ядра: aswArPots.sys (драйвер Avast) для завершення процесів EDR і IObitUnlockers.sys (драйвер IObit) для видалення відповідних виконуваних файлів.
Для збереження DLL під назвою «oci.dll» завантажується службою Windows під назвою «msdtc». Після активації ця DLL завантажує свіжу копію «get.png», щоб інсталювати останню версію GhostEngine на машині.
Враховуючи ймовірність того, що кожній жертві може бути призначено унікальний гаманець, фінансові вигоди від атак зловмисного програмного забезпечення GhostEngine можуть бути значними.
Рекомендовані заходи безпеки проти зловмисного програмного забезпечення GhostEngine Miner
Дослідники рекомендують захисникам залишатися пильними щодо таких індикаторів, як підозрілі виконання PowerShell, незвичні дії процесів і мережевий трафік, спрямований на пули майнінгу криптовалюти. Крім того, розгортання вразливих драйверів і створення відповідних служб режиму ядра слід розглядати як серйозні попереджувальні знаки в будь-якій системі. Як профілактичний захід, блокування створення файлів із вразливих драйверів, таких як aswArPots.sys і IobitUnlockers.sys, може допомогти зменшити ці загрози.
