Une campagne de crypto-extraction malveillante nommée « REF4578 » a été découverte déployant une charge utile malveillante nommée GhostEngine qui utilise des pilotes vulnérables pour désactiver les produits de sécurité et déployer un mineur XMRig.

Des chercheurs d’Elastic Security Labs et d’Antiy ont souligné la sophistication inhabituelle de ces attaques de crypto-minage dans des rapports distincts et des règles de détection partagées pour aider les défenseurs à les identifier et à les arrêter.

Cependant, aucun rapport n’attribue l’activité à des acteurs de la menace connus ni ne partage de détails sur les cibles/victimes, de sorte que l’origine et la portée de la campagne restent inconnues.

Moteur fantôme
Bien qu’il ne soit pas clair comment les serveurs sont initialement violés, l’attaque de l’auteur de la menace commence par l’exécution d’un fichier nommé « Tiworker ».exe,  » qui se fait passer pour un fichier Windows légitime.

Cet exécutable est la charge utile initiale de préparation pour GhostEngine, un script PowerShell qui télécharge divers modules pour effectuer différents comportements sur un appareil infecté.

Quand Travailleur.exe est exécuté, il téléchargera un script PowerShell nommé ‘ get.png ‘ du serveur de commande et de contrôle (C2) de l’attaquant, qui agit en tant que chargeur principal de GhostEngine.

Ce script PowerShell télécharge des modules supplémentaires et leurs configurations, désactive Windows Defender, active les services à distance et efface divers journaux d’événements Windows.

Ensuite, allez-y.png vérifie que le système dispose d’au moins 10 Mo d’espace libre, ce qui est nécessaire pour poursuivre l’infection, et crée des tâches planifiées nommées « OneDriveCloudSync », « DefaultBrowserUpdate » et « OneDriveCloudBackup » pour la persistance.

Tâches planifiées ajoutées pour la persistance

Le script PowerShell va maintenant télécharger et lancer un exécutable nommé smartsscreen.exe, qui agit comme la charge utile principale de GhostEngine.

Ce logiciel malveillant est responsable de la résiliation et de la suppression du logiciel SDR, ainsi que du téléchargement et du lancement du XMRig à exploiter pour la crypto-monnaie.

Pour mettre fin au logiciel EDR, Ghost Engine charge deux pilotes de noyau vulnérables: aswArPots.sys (pilote Avast), qui est utilisé pour terminer les processus EDR, et IObitUnlockers.sys (pilote Iobit) pour supprimer l’exécutable associé.

Une liste des processus ciblés par le terminateur EDR est présentée ci-dessous:

Liste EDR codée en dur utilisée par les deux tueries.png et écran intelligent.exe

Pour la persistance, une DLL nommée ‘ oci.dll ‘est chargé par un service Windows nommé ‘msdtc’. Une fois démarrée, cette DLL téléchargera une nouvelle copie de ‘ get.png ‘ pour installer la dernière version de Ghost Engine sur la machine.

Bien qu’Elastic n’ait pas vu de chiffres impressionnants à partir de l’identifiant de paiement unique qu’ils ont examiné, il est possible que chaque victime dispose d’un portefeuille unique, de sorte que le gain financier global pourrait être important.

Chaîne d’attaque complète du moteur fantôme

Défense contre le moteur fantôme
Les chercheurs d’Elastic suggèrent aux défenseurs de rechercher une exécution suspecte de PowerShell, une activité de processus inhabituelle et un trafic réseau pointant vers des pools de crypto-extraction.

De plus, le déploiement de pilotes vulnérables et la création de services associés en mode noyau doivent être traités comme des drapeaux rouges dans n’importe quel environnement.

Une mesure agressive consiste à bloquer la création de fichiers à partir de pilotes vulnérables comme aswArPots.les bloqueurs sys et IBITUN.sys.

Elastic Security a également fourni des règles YARA dans le rapport pour aider les défenseurs à identifier les infections par GhostEngine.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *