Специалисты по информационной безопасности сообщили об обнаружении вредоносной киберпреступной кампании, направленной на майнинг криптовалютных активов. В рамках подобных кибератак хакеры эксплуатируют уязвимые драйверы для отключения продуктов безопасности и развёртывания вредоносного ПО для майнинга XMRig, сообщает Bleeping Computer.
Специалисты по информационной безопасности из Elastic Security Labs и Antiy, которые обнаружили эту киберпреступную кампанию, заявляют, что выявленные кибератаки отличаются невероятной сложностью. При этом в своём отчёте, который был опубликован несколько дней назад, эксперты не связывают эту киберпреступную деятельность с какой-либо крупной известной хакерской группировкой, а также не раскрывают информацию о пострадавших компаниях.
Аналитики отмечают, что на данный момент до конца не ясно, как изначально происходит взлом серверов, но атака хакеров начинается с выполнения файла с именем «Tiworker.exe», который маскируется под легитимный файл Windows.
Этот исполняемый файл является начальной промежуточной полезной нагрузкой для GhostEngine — сценария PowerShell, который загружает различные модули для выполнения различных действий на заражённом устройстве.
При запуске Tiworker.exe он загружает сценарий PowerShell с именем get.png с сервера управления и контроля (C2) злоумышленника, который действует как основной загрузчик GhostEngine.
Этот сценарий PowerShell загружает дополнительные модули и их конфигурации, отключает Защитник Windows, включает удалённые службы и очищает различные журналы событий Windows.
Затем get.png проверяет, что в системе имеется как минимум 10 МБ свободного места, что необходимо для дальнейшего заражения, и создаёт запланированные задачи с именами «OneDriveCloudSync», «DefaultBrowserUpdate» и «OneDriveCloudBackup» для сохранения.
Сценарий PowerShell теперь загрузит и запустит исполняемый файл с именем smartsscreen.exe, который выступает в качестве основной полезной нагрузки GhostEngine. Это вредоносное ПО отвечает за завершение работы и удаление программного обеспечения EDR, а также за загрузку и запуск XMRig для добычи криптовалюты.
Чтобы завершить работу программного обеспечения EDR, GhostEngine загружает два уязвимых драйвера ядра: aswArPots.sys (драйвер Avast), который используется для завершения процессов EDR, и IObitUnlockers.sys (драйвер Iobit) для удаления связанного исполняемого файла.
Оригинал публикации на сайте CISOCLUB: "Хакеры обходят EDR из-за уязвимых драйверов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
