แคมเปญการโจมตีของมัลแวร์ขุดคริปโตเคอเรนซีที่มีชื่อว่า 'REF4578' ถูกพบว่ากำลังปรับใช้เพย์โหลดที่เป็นอันตรายชื่อ GhostEngine ซึ่งมีการใช้ไดรเวอร์ที่มีช่องโหว่เพื่อปิดการทำงานของอุปกรณ์ป้องกันด้านความปลอดภัย และติดตั้ง XMRig miner
นักวิจัยจาก Elastic Security Labs เป็นผู้รายงานถึงความซับซ้อนของการโจมตีจากมัลแวร์ขุดคริปโตเคอเรนซีเหล่านี้ เพื่อช่วยให้ผู้ใช้งานสามารถระบุ และหยุดการโจมตีเหล่านั้นได้อย่างทันท่วงที
อย่างไรก็ตาม ยังไม่มีรายงานที่ระบุว่าพฤติกรรมดังกล่าวมาจากกลุ่มผู้โจมตีกลุ่มใด และยังไม่มีการเผยรายละเอียดของเหยื่อ ดังนั้นจึงทำให้ยังไม่ทราบที่มา และขอบเขตของแคมเปญการโจมตี
GhostEngine
แม้ไม่ชัดเจนว่าเซิร์ฟเวอร์ถูกโจมตีได้อย่างไร แต่การโจมตีของผู้โจมตีเริ่มต้นด้วยการเรียกใช้ไฟล์ชื่อ 'Tiworker.exe' ซึ่งปลอมเป็นไฟล์บน Windows ที่ดูปกติ
โดยไฟล์ปฏิบัติการนี้เป็นเพย์โหลดเริ่มต้นสำหรับ GhostEngine ซึ่งเป็นสคริปต์ PowerShell ที่จะดาวน์โหลดโมดูลต่าง ๆ เพื่อดำเนินการลักษณะการทำงานที่แตกต่างกันบนอุปกรณ์ที่ติดมัลแวร์
เมื่อ Tiworker.exe ถูกเรียกใช้งาน มันจะดาวน์โหลดสคริปต์ PowerShell ชื่อ 'get.png' จากเซิร์ฟเวอร์ command and control (C2) ของผู้โจมตี ซึ่งทำหน้าที่เป็น loader หลักของ GhostEngine
สคริปต์ PowerShell นี้จะดาวน์โหลดโมดูลเพิ่มเติม และการตั้งค่าการปิดใช้งาน Windows Defender, เปิดใช้งาน remote services และลบ Windows event logs ต่างๆ
จากนั้น get.png จะตรวจสอบว่าระบบมีพื้นที่ว่างอย่างน้อย 10 เมกะไบต์หรือไม่ ซึ่งจะจำเป็นสำหรับการโจมตีต่อไป โดยมันจะสร้าง scheduled tasks ชื่อ OneDriveCloudSync, DefaultBrowserUpdate และ OneDriveCloudBackup
จากนั้นสคริปต์ PowerShell จะดาวน์โหลด และเรียกใช้งานไฟล์ smartsscreen.exe ซึ่งทำหน้าที่เป็นเพย์โหลดหลักของ GhostEngine
มัลแวร์นี้มีหน้าที่สำคัญในการหยุดการทำงาน และลบซอฟต์แวร์ EDR ออกไป รวมถึงการดาวน์โหลด และเรียกใช้งาน XMRig เพื่อทำการขุดคริปโตเคอเรนซี
โดยหากต้องการหยุดการทำงานของซอฟต์แวร์ EDR นั้น GhostEngine จะโหลด kernel drivers ที่มีช่องโหว่สองตัว ได้แก่ aswArPots.sys (ไดรเวอร์ Avast) ซึ่งใช้เพื่อหยุดการทำงานของ EDR process และ IObitUnlockers.sys (ไดรเวอร์ Iobit) เพื่อลบไฟล์ปฏิบัติการที่เกี่ยวข้อง
รายการ Process ที่เป็นเป้าหมายในการหยุดการทำงานของ EDR มีดังนี้
DLL ที่ชื่อว่า 'oci.dll' จะถูกโหลดโดย Windows service ชื่อ 'msdtc' เมื่อเริ่มทำงาน DLL นี้จะดาวน์โหลดสำเนาใหม่ของ 'get.png' เพื่อติดตั้ง GhostEngine เวอร์ชันล่าสุดบนเครื่อง
แม้ว่าทีม Elastic จะพบว่า Wallet ID ของมัลแวร์ดังกล่าวทำเงินจากการขุดคริปโตเคอเรนซีได้ไม่มากนัก แต่ก็เป็นไปได้ที่เหยื่อแต่ละรายจะมี wallet ที่ไม่ซ้ำกัน ดังนั้นจำนวนเงินโดยรวมของการขุดคริปโตของมัลแวร์อาจมีจำนวนมากกว่าที่เห็น
การป้องกัน GhostEngine
นักวิจัยแนะนำให้ผู้ใช้งานระวังการทำงานของ PowerShell ที่น่าสงสัย, พฤติกรรมที่ผิดปกติ และการรับส่งข้อมูลบนเครือข่ายที่ชี้ไปยัง crypto-mining pools
นอกจากนี้การพบการใช้ไดรเวอร์ที่มีช่องโหว่ และการสร้าง kernel mode services ควรถือว่าเป็นพฤติกรรมที่เป็นอันตรายไว้ก่อน
มาตรการเชิงรุกคือการบล็อกการสร้างไฟล์จากไดรเวอร์ที่มีช่องโหว่ เช่น aswArPots.sys และ IobitUnlockers.sys และปรับใช้ YARA rules ในรายงานเพื่อช่วยระบุการติดมัลแวร์ GhostEngine
ที่มา : bleepingcomputer
You must be logged in to post a comment.