GhostEngine マルウェアは、あなたのコンピュータを暗号通貨マイニングに利用しようとします

GhostEngine マルウェアは、さまざまな悪意のあるモジュールを統合し、脆弱なドライバーを利用してセキュリティソリューションを無効にし、暗号通貨マイニングを容易にする高度な侵入セットです。REF4578 と呼ばれるこのマルウェアは、GHOSTENGINE を主なペイロードとして使用します。研究者は、この侵入セットの一部を HIDDENSHOVEL という名前で特定しています。

Table of Contents

主な特徴と戦術

偶発性と複製メカニズム

GhostEngine マルウェアの作成者は、回復力と持続性を確保するために、多数の偶発性および複製メカニズムを組み込んでいます。これらのメカニズムにより、動作の一部が中断された場合でも、マルウェアの機能を維持することができます。

セキュリティソリューションを無効にする

GHOSTENGINE は、脆弱なドライバーを利用して、既知のエンドポイント検出および応答 (EDR) エージェントを終了および削除します。この手順は、セキュリティソフトウェアからの干渉を受けずにコインマイナーを展開できるようにするために重要です。

このマルウェアキャンペーンは、XMRIG マイナーのインストールと永続化を確実にするために、並外れたレベルの複雑さを示しています。キャンペーンは、正規の Windows TiWorker.exe を装った Tiworker.exe という PE ファイルの実行から始まります。このアクションにより、一連の悪意のあるアクティビティがトリガーされます。

感染と実行のプロセス

実行されると、Tiworker.exe ファイルは侵入フロー全体を調整する PowerShell スクリプトをダウンロードして実行します。このバイナリはハードコードされた PowerShell コマンドを実行して難読化されたスクリプト get.png を取得し、攻撃者のコマンドアンドコントロール (C2) サーバーから追加のツール、モジュール、および構成をダウンロードします。

GHOSTENGINE は、感染したマシン上でモジュールを取得して実行する役割を担います。主に HTTP を使用して、設定されたドメインからファイルをダウンロードします。ドメインが利用できない場合は、バックアップ IP を使用します。FTP は、冗長性を高めるために埋め込まれた資格情報を使用するセカンダリプロトコルとして機能します。

システムのクリーンアップと永続性

このスクリプトは、以前の感染の痕跡を除去するために設計されたコンポーネントであるclearn.pngをダウンロードして実行します。このスクリプトは、C:\Program Files\Common Files\System\adoやC:\PROGRAなどのディレクトリにある悪質なファイルをクリーンアップします。 ~~1\共通~~1\System\ado。さらに、次の名前のスケジュールされたタスクも削除されます。