Categorie
Sicurezza Informatica

GHOSTENGINE: nuova minaccia cryptomining invisibile

Elastic Security Labs rivela GHOSTENGINE, un set di intrusioni sofisticato progettato per eseguire attività di crypto mining furtive

Elastic Security Labs ha identificato un set di intrusioni denominato REF4578, che include diversi moduli dannosi e sfrutta driver vulnerabili per disabilitare soluzioni di sicurezza note (EDR) al fine di eseguire attività di crypto mining. Il payload principale di questo set di intrusioni è chiamato GHOSTENGINE. Questa analisi rivela le capacità di GHOSTENGINE di stabilire la persistenza, installare una backdoor e avviare un crypto-miner.

Principali caratteristiche

  • Gli autori del malware hanno incorporato numerosi meccanismi di contingenza e duplicazione.
  • GHOSTENGINE sfrutta driver vulnerabili per terminare e cancellare agenti EDR noti che potrebbero interferire con il miner XMRIG.
  • La campagna mostra un alto livello di complessità per garantire sia l’installazione che la persistenza del miner XMRIG.

Analisi del Codice

Il 6 maggio 2024, l’esecuzione di un file PE denominato Tiworker.exe, mascherato come il legittimo file Windows TiWorker.exe, ha segnato l’inizio dell’intrusione REF4578. Questo file scarica ed esegue uno script PowerShell che orchestra l’intero flusso di esecuzione dell’intrusione.

GHOSTENGINE

GHOSTENGINE è responsabile del recupero e dell’esecuzione dei moduli sulla macchina. Utilizza principalmente HTTP per scaricare file da un dominio configurato, con un IP di backup in caso di indisponibilità del dominio. Utilizza anche FTP come protocollo secondario con credenziali incorporate.

Moduli Principali di GHOSTENGINE

  1. smartscreen.exe (Modulo di controllo EDR e miner):
    • Termina i processi degli agenti EDR attivi.
    • Scarica e installa il client di mining XMRig.
  2. oci.dll (Modulo di aggiornamento/persistenza):
    • Crea persistenza di sistema e scarica eventuali aggiornamenti dai server C2.
  3. kill.png (Modulo di terminazione EDR):
    • Script PowerShell che inietta shellcode nel processo corrente, caricando un file PE in memoria.
  4. backup.png (Modulo backdoor):
    • Funziona come una backdoor, permettendo l’esecuzione remota di comandi sul sistema.

Configurazione del Miner

XMRig è un miner di criptovalute legittimo utilizzato per minare Monero. La configurazione di XMRig include dettagli come l’ID di pagamento Monero, che consente di tracciare le statistiche del worker e della pool, le criptovalute minate, gli ID delle transazioni e i prelievi.

Prevenzione e Mitigazione

Rilevamento

  • Esecuzione sospetta di PowerShell
  • Esecuzione da directory insolite
  • Elevazione dei privilegi a integrità di sistema
  • Distribuzione di driver vulnerabili e creazione di servizi in modalità kernel associati

Prevenzione

  • Prevenzione dei file dannosi
  • Prevenzione dell’iniezione di shellcode
  • Prevenzione della creazione di file di driver vulnerabili

Osservazioni

Tutti gli osservabili discussi nella ricerca sono disponibili per il download in formato ECS e STIX.

GHOSTENGINE rappresenta una minaccia complessa e sofisticata, progettata per disabilitare le soluzioni di sicurezza e stabilire la persistenza per eseguire attività di crypto mining. Le organizzazioni devono implementare misure di rilevamento e prevenzione efficaci per proteggere i propri sistemi da queste intrusioni avanzate.

Exit mobile version