GhostEngine 惡意軟體

已發現代號為 REF4578 的加密貨幣挖礦攻擊活動部署了名為 GhostEngine 的威脅有效負載。該惡意軟體能夠利用易受攻擊的驅動程式來關閉安全產品並部署XMRig挖礦程式。研究人員透過發布包含調查結果的報告，強調了這些加密貨幣挖礦攻擊的異常複雜性。然而，到目前為止，專家尚未將該活動歸因於任何已知的威脅行為者，也沒有透露有關目標/受害者的任何詳細信息，因此該活動的起源和範圍仍然未知。

GhostEngine 惡意軟體透過偽裝成合法檔案開始攻擊

伺服器入侵的最初方法仍不清楚，但攻擊是從執行一個名為「Tiworker.exe」的檔案開始的，該檔案偽裝成合法的 Windows 檔案。此可執行檔充當 GhostEngine 的初始暫存有效負載，GhostEngine 是一個 PowerShell 腳本，旨在為受感染裝置上的不同有害活動下載各種模組。

執行後，Tiworker.exe 會從攻擊者的命令與控制 (C2) 伺服器下載名為「get.png」的 PowerShell 腳本，作為 GhostEngine 的主要載入程式。此腳本會擷取其他模組及其配置、停用 Windows Defender、啟用遠端服務並清除各種 Windows 事件日誌。

隨後，get.png 檢查系統上至少有 10MB 的可用空間（這是推進感染的要求），並建立名為「OneDriveCloudSync」、「DefaultBrowserUpdate」和「OneDriveCloudBackup」的計畫任務以確保持久性。

GhostEngine 惡意軟體可以關閉受害者裝置上的安全軟體

PowerShell 腳本繼續下載並執行名為 smartsscreen.exe 的可執行文件，該執行檔充當 GhostEngine 的主要負載。該惡意軟體的任務是終止和刪除端點偵測和回應（EDR）軟體，並下載和啟動 XMRig 來挖掘加密貨幣。為了停用 EDR 軟體，GhostEngine 利用兩個易受攻擊的核心驅動程式：aswArPots.sys（Avast 驅動程式）來終止 EDR 進程，IObitUnlockers.sys（IObit 驅動程式）來刪除對應的執行檔。

為了持久性，名為「oci.dll」的 DLL 會由名為「msdtc」的 Windows 服務載入。啟動後，此 DLL 會下載「get.png」的新副本，以在電腦上安裝最新版本的 GhostEngine。

考慮到每個受害者都可能被分配一個獨特的錢包，GhostEngine 惡意軟體攻擊帶來的經濟效益可能是巨大的。

針對 GhostEngine Miner 惡意軟體的建議安全措施

研究人員建議防禦者對可疑的 PowerShell 執行、異常進程活動以及流向加密貨幣礦池的網路流量等指標保持警惕。此外，在任何系統中，易受攻擊的驅動程式的部署和相關核心模式服務的創建都應被視為重要的警告信號。作為主動措施，阻止從易受攻擊的驅動程式（例如 aswArPots.sys 和 IobitUnlockers.sys）建立檔案可以幫助減輕這些威脅。