GhostEngine-Malware
Es wurde eine Krypto-Mining-Angriffskampagne mit dem Codenamen REF4578 entdeckt, die eine bedrohliche Nutzlast namens GhostEngine einsetzt. Die Malware kann anfällige Treiber ausnutzen, um Sicherheitsprodukte auszuschalten und einen XMRig- Miner einzusetzen. Forscher haben die ungewöhnliche Raffinesse dieser Krypto-Mining-Angriffe unterstrichen, indem sie Berichte mit ihren Ergebnissen veröffentlichten. Bisher haben die Experten die Aktivität jedoch keinem bekannten Bedrohungsakteur zugeschrieben und auch keine Details zu Zielen/Opfern preisgegeben, sodass Ursprung und Umfang der Kampagne unbekannt bleiben.
Inhaltsverzeichnis
Die GhostEngine-Malware beginnt ihren Angriff, indem sie sich als legitime Datei ausgibt
Die ursprüngliche Methode des Servereinbruchs bleibt unklar, aber der Angriff beginnt mit der Ausführung einer Datei namens „Tiworker.exe“, die sich als legitime Windows-Datei ausgibt. Diese ausführbare Datei dient als anfängliche Staging-Nutzlast für GhostEngine, ein PowerShell-Skript, das verschiedene Module für unterschiedliche schädliche Aktivitäten auf dem infizierten Gerät herunterlädt.
Bei der Ausführung lädt Tiworker.exe ein PowerShell-Skript namens „get.png“ vom Command-and-Control-Server (C2) des Angreifers herunter und fungiert als primärer Loader für GhostEngine. Dieses Skript ruft zusätzliche Module und deren Konfigurationen ab, deaktiviert Windows Defender, aktiviert Remotedienste und löscht verschiedene Windows-Ereignisprotokolle.
Anschließend prüft get.png, ob auf dem System mindestens 10 MB freier Speicherplatz vorhanden sind (eine Voraussetzung für die weitere Infektion) und erstellt geplante Aufgaben mit den Namen „OneDriveCloudSync“, „DefaultBrowserUpdate“ und „OneDriveCloudBackup“, um die Beständigkeit sicherzustellen.
Die GhostEngine-Malware kann Sicherheitssoftware auf den Geräten der Opfer deaktivieren
Das PowerShell-Skript lädt eine ausführbare Datei namens smartsscreen.exe herunter und führt sie aus. Diese dient als primäre Nutzlast von GhostEngine. Diese Malware hat die Aufgabe, Endpoint Detection and Response (EDR)-Software zu beenden und zu löschen sowie XMRig herunterzuladen und zu starten, um Kryptowährung zu schürfen. Um EDR-Software zu deaktivieren, verwendet GhostEngine zwei anfällige Kerneltreiber: aswArPots.sys (ein Avast-Treiber), um EDR-Prozesse zu beenden, und IObitUnlockers.sys (ein IObit-Treiber), um die entsprechenden ausführbaren Dateien zu löschen.
Zur dauerhaften Speicherung wird eine DLL namens „oci.dll“ von einem Windows-Dienst namens „msdtc“ geladen. Nach der Aktivierung lädt diese DLL eine neue Kopie von „get.png“ herunter, um die neueste Version von GhostEngine auf dem Computer zu installieren.
Angesichts der Möglichkeit, dass jedem Opfer eine individuelle Wallet zugewiesen wird, könnten die finanziellen Gewinne aus den GhostEngine-Malware-Angriffen beträchtlich sein.
Empfohlene Sicherheitsmaßnahmen gegen die GhostEngine Miner-Malware
Forscher empfehlen Verteidigern, wachsam zu bleiben und auf Indikatoren wie verdächtige PowerShell-Ausführungen, ungewöhnliche Prozessaktivitäten und Netzwerkverkehr zu achten, der auf Kryptowährungs-Mining-Pools gerichtet ist. Darüber hinaus sollten die Bereitstellung anfälliger Treiber und die Erstellung zugehöriger Kernelmodusdienste in jedem System als deutliche Warnsignale angesehen werden. Als proaktive Maßnahme kann das Blockieren der Erstellung von Dateien von anfälligen Treibern wie aswArPots.sys und IobitUnlockers.sys helfen, diese Bedrohungen einzudämmen.
