'Ref4578' adlı kötü niyetli bir kripto madenciliği kampanyası, güvenlik ürünlerini kapatmak ve bir XMRIG madencisi dağıtmak için savunmasız sürücüler kullanan GhostEngine adlı kötü amaçlı bir yükün dağıtıldığı keşfedildi.
Elastik Güvenlik Laboratuarları ve Antiey'deki araştırmacılar, bu kripto madenciliği saldırılarının ayrı raporlarda ve savunucuların bunları tanımlamasına ve durdurmalarına yardımcı olmak için paylaşılan tespit kurallarında olağandışı karmaşıklığını vurguladılar.
Bununla birlikte, ne Rapor, faaliyeti bilinen tehdit aktörleriyle ilişkilendirmez ne de hedefler/mağdurlarla ilgili ayrıntıları paylaşmaz, bu nedenle kampanyanın kökeni ve kapsamı bilinmemektedir.
Sunucuların başlangıçta nasıl ihlal edildiği belirsiz olsa da, tehdit oyuncusu saldırısı, meşru bir Windows dosyası olarak maskelenen 'tiworker.exe' adlı bir dosyanın yürütülmesi ile başlar.
Bu yürütülebilir ürün, enfekte olmuş bir cihazda farklı davranışlar yürütmek için çeşitli modülleri indiren bir PowerShell komut dosyası olan GhostEngine için ilk evreleme yüküdür.
Tiworker.exe yürütüldüğünde, GhostEngine'nin birincil yükleyicisi olarak hareket eden saldırganın komutu ve kontrol (C2) sunucusundan 'get.png' adlı bir PowerShell komut dosyası indirecektir.
Bu PowerShell komut dosyası ek modüller ve yapılandırmaları indirir, Windows Defender'ı devre dışı bırakır, uzaktan hizmetleri etkinleştirir ve çeşitli Windows olay günlüklerini temizler.
Daha sonra, get.png, sistemin enfeksiyonu ilerletmek için gerekli olan en az 10MB boş alana sahip olduğunu ve 'OneDriveCloudsync', 'varsayılanbrowserupdate' ve 'OneDriveCoudbackup' adlı planlanmış görevler oluşturduğunu doğrular.
PowerShell komut dosyası şimdi GhostEngine'nin birincil yükü olarak hareket eden smartsscreen.exe adlı bir yürütülebilir dosyayı indirecek ve başlatacak.
Bu kötü amaçlı yazılım, EDR yazılımını sona erdirmek ve silmekten ve kripto para birimi için XMRIG'yi indirmek ve başlatmaktan sorumludur.
EDR yazılımını sonlandırmak için GhostEngine, iki savunmasız çekirdek sürücüsü yükler: ASWARPOTS.SYS (AVAST sürücüsü) ve IobitUnlockers.sys (IOBIT DRIMER) ilişkili yürütülebilir dosyasını silmek için.
EDR Terminatörü tarafından hedeflenen süreçlerin bir listesi aşağıda gösterilmiştir:
Kalıcılık için, 'oci.dll' adlı bir DLL, 'msdtc' adlı bir Windows hizmeti tarafından yüklenir. Başladığında, bu DLL, GhostEngine'in en son sürümünü makineye yüklemek için 'get.png' yeni bir kopyasını indirecektir.
Elastik, inceledikleri tek ödeme kimliğinden etkileyici rakamlar görmemiş olsa da, her kurbanın benzersiz bir cüzdanla gelmesi mümkündür, bu nedenle genel finansal kazanç önemli olabilir.
Elastik araştırmacılar, savunucuların şüpheli PowerShell infazını, olağandışı süreç etkinliğini ve kripto madencilik havuzlarına işaret eden ağ trafiğini aradıklarını öne sürüyorlar.
Ayrıca, savunmasız sürücülerin dağıtılması ve ilişkili çekirdek modu hizmetleri oluşturmak, herhangi bir ortamda kırmızı bayrak olarak ele alınmalıdır.
Agresif bir önlem, Aswarpots.sys ve iobitunlockers.sys gibi savunmasız sürücülerden dosya oluşturmayı engellemektir.
Elastik güvenlik, savunucuların hayalet enfeksiyonlarını tanımlamasına yardımcı olmak için raporda YARA kuralları da sağlamıştır.
Kubernetes Cryptomining Saldırılarında Hacker Hack OpenMetadata Uygulamaları
Crypto Miner, Cloud Server faturalarında 3,5 milyon dolar atladığı için tutuklandı
Rubycarp hacker'ları 10 yaşındaki kriptominaya bağlı botnet
Bilgisayar korsanları Ray Framework Kusurunu Sunucuları İhlal Etmek, Kaçırma Kaynaklarına Kullanım
Yeni Darcula Kimlik Yardım Hizmeti iPhone kullanıcılarını iMessage aracılığıyla hedefliyor
Kaynak: Bleeping Computer