GhostEngine マルウェア

コードネーム REF4578 の仮想通貨マイニング攻撃キャンペーンが、GhostEngine という脅威的なペイロードを展開しているのが発見されました。このマルウェアは、脆弱なドライバーを悪用してセキュリティ製品をオフにし、 XMRigマイナーを展開することができます。研究者は、調査結果をまとめたレポートを公開し、これらの仮想通貨マイニング攻撃の異常な洗練性を強調しました。しかし、これまでのところ、専門家は、この活動を既知の脅威アクターに帰属させておらず、ターゲット/被害者に関する詳細も明らかにしていないため、キャンペーンの起源と範囲は不明のままです。

GhostEngineマルウェアは正規のファイルを装って攻撃を開始する

サーバー侵入の最初の方法は不明ですが、攻撃は正規の Windows ファイルを装った「Tiworker.exe」というファイルの実行から始まります。この実行ファイルは、感染したデバイス上でさまざまな有害な活動を行うためのさまざまなモジュールをダウンロードするように設計された PowerShell スクリプトである GhostEngine の初期ステージング ペイロードとして機能します。

実行されると、Tiworker.exe は、攻撃者のコマンド アンド コントロール (C2) サーバーから「get.png」という名前の PowerShell スクリプトをダウンロードし、GhostEngine のプライマリ ローダーとして機能します。このスクリプトは、追加のモジュールとその構成を取得し、Windows Defender を無効にし、リモート サービスを有効にし、さまざまな Windows イベント ログをクリアします。

その後、get.png は、感染を進行させるために必要なシステム上の空き容量が少なくとも 10 MB あるかどうかを確認し、永続性を確保するために「OneDriveCloudSync」、「DefaultBrowserUpdate」、および「OneDriveCloudBackup」という名前のスケジュールされたタスクを作成します。

GhostEngineマルウェアは被害者のデバイス上のセキュリティソフトウェアをシャットダウンする可能性がある

PowerShell スクリプトは、GhostEngine の主なペイロードとして機能する smartsscreen.exe という実行可能ファイルをダウンロードして実行します。このマルウェアは、エンドポイント検出および対応 (EDR) ソフトウェアを終了して削除し、XMRig をダウンロードして起動して暗号通貨を採掘する役割を担っています。EDR ソフトウェアを無効にするために、GhostEngine は 2 つの脆弱なカーネル ドライバーを使用します。aswArPots.sys (Avast ドライバー) は EDR プロセスを終了し、IObitUnlockers.sys (IObit ドライバー) は対応する実行可能ファイルを削除します。

永続性を保つために、「oci.dll」という DLL が「msdtc」という Windows サービスによって読み込まれます。この DLL はアクティブ化されると、「get.png」の新しいコピーをダウンロードし、マシンに GhostEngine の最新バージョンをインストールします。

各被害者に固有のウォレットが割り当てられる可能性があることを考慮すると、GhostEngine マルウェア攻撃による金銭的利益は相当なものになる可能性があります。

GhostEngine Minerマルウェアに対する推奨セキュリティ対策

研究者は、疑わしい PowerShell の実行、異常なプロセス アクティビティ、暗号通貨マイニング プールに向けられたネットワーク トラフィックなどの兆候に警戒を怠らないよう、防御側は推奨しています。さらに、脆弱なドライバーの展開や関連するカーネル モード サービスの作成は、どのシステムでも重大な警告サインとして扱う必要があります。予防策として、aswArPots.sys や IobitUnlockers.sys などの脆弱なドライバーからのファイルの作成をブロックすると、これらの脅威を軽減できます。