Phần mềm độc hại GhostEngine
Một chiến dịch tấn công khai thác tiền điện tử có tên mã REF4578 đã bị phát hiện khi triển khai một tải trọng đe dọa có tên GhostEngine. Phần mềm độc hại có khả năng khai thác các trình điều khiển dễ bị tấn công để tắt các sản phẩm bảo mật và triển khai công cụ khai thác XMRig . Các nhà nghiên cứu đã nhấn mạnh sự phức tạp bất thường của các cuộc tấn công khai thác tiền điện tử này bằng cách công bố các báo cáo kèm theo phát hiện của họ. Tuy nhiên, cho đến nay, các chuyên gia vẫn chưa quy kết hoạt động này cho bất kỳ tác nhân đe dọa nào đã biết cũng như chưa tiết lộ bất kỳ chi tiết nào về mục tiêu/nạn nhân, vì vậy nguồn gốc và phạm vi của chiến dịch vẫn chưa được xác định.
Mục lục
Phần mềm độc hại GhostEngine bắt đầu cuộc tấn công bằng cách giả dạng là một tệp hợp pháp
Phương thức vi phạm máy chủ ban đầu vẫn chưa rõ ràng, nhưng cuộc tấn công bắt đầu bằng việc thực thi tệp có tên 'Tiworker.exe', được coi là tệp Windows hợp pháp. Tệp thực thi này đóng vai trò là tải trọng dàn dựng ban đầu cho GhostEngine, tập lệnh PowerShell được thiết kế để tải xuống các mô-đun khác nhau cho các hoạt động có hại khác nhau trên thiết bị bị nhiễm.
Sau khi thực thi, Tiworker.exe tải xuống tập lệnh PowerShell có tên 'get.png' từ máy chủ Chỉ huy và Kiểm soát (C2) của kẻ tấn công, đóng vai trò là trình tải chính cho GhostEngine. Tập lệnh này truy xuất các mô-đun bổ sung và cấu hình của chúng, vô hiệu hóa Windows Defender, bật các dịch vụ từ xa và xóa các nhật ký sự kiện Windows khác nhau.
Sau đó, get.png kiểm tra ít nhất 10 MB dung lượng trống trên hệ thống, một yêu cầu để thúc đẩy quá trình lây nhiễm và tạo các tác vụ theo lịch trình có tên 'OneDriveCloudSync', 'DefaultBrowserUpdate' và 'OneDriveCloudBackup' để đảm bảo tính bền bỉ.
Phần mềm độc hại GhostEngine có thể tắt phần mềm bảo mật trên thiết bị của nạn nhân
Tập lệnh PowerShell tiến hành tải xuống và thực thi một tệp thực thi có tên là smartsscreen.exe, đóng vai trò là trọng tải chính của GhostEngine. Phần mềm độc hại này có nhiệm vụ chấm dứt và xóa phần mềm Phát hiện và phản hồi điểm cuối (EDR) cũng như tải xuống và khởi chạy XMRig để khai thác tiền điện tử. Để vô hiệu hóa phần mềm EDR, GhostEngine sử dụng hai trình điều khiển hạt nhân dễ bị tấn công: aswArPots.sys (trình điều khiển Avast) để chấm dứt các quy trình EDR và IObitUnlockers.sys (trình điều khiển IObit) để xóa các tệp thực thi tương ứng.
Để duy trì tính bền vững, một DLL có tên 'oci.dll' được tải bởi dịch vụ Windows có tên 'msdtc.' Sau khi kích hoạt, DLL này tải xuống bản sao mới của 'get.png' để cài đặt phiên bản GhostEngine mới nhất trên máy.
Với khả năng mỗi nạn nhân có thể được chỉ định một ví riêng, lợi ích tài chính từ các cuộc tấn công bằng phần mềm độc hại GhostEngine có thể rất đáng kể.
Các biện pháp bảo mật được đề xuất chống lại phần mềm độc hại GhostEngine Miner
Các nhà nghiên cứu khuyến nghị những người bảo vệ nên cảnh giác với các dấu hiệu như thực thi PowerShell đáng ngờ, các hoạt động quy trình bất thường và lưu lượng truy cập mạng hướng tới các nhóm khai thác tiền điện tử. Hơn nữa, việc triển khai các trình điều khiển dễ bị tấn công và tạo các dịch vụ chế độ kernel liên quan phải được coi là dấu hiệu cảnh báo quan trọng trong bất kỳ hệ thống nào. Là một biện pháp chủ động, việc chặn việc tạo tệp từ các trình điều khiển dễ bị tấn công, chẳng hạn như aswArPots.sys và IobitUnlockers.sys, có thể giúp giảm thiểu các mối đe dọa này.
