최근 “GhostEngine”을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다.
현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 “GhostEngine”은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 “XMRig”를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다.
이에 대해 보안 업체 Elastic Security Labs 측은 “GhostEngine”을 식별할 수 있는 YARA 규칙을 배포하고 있다.
사진 출처 : Elastic Security Labs
출처
[1] Elastic Security Labs (2024.05.23) – Invisible miners: unveiling GHOSTENGINE’s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine
'최신 보안 동향' 카테고리의 다른 글
| 피싱 캠페인을 통해 유포되는 Warmcookie 악성코드 (0) | 2024.06.12 |
|---|---|
| 가짜 이력서로 위장한 More_Eggs 악성코드 유포 캠페인 (0) | 2024.06.11 |
| Windows 기능을 악용한 Black Basta 랜섬웨어 공격 (0) | 2024.05.17 |
| LockBit 랜섬웨어를 유포하는 이메일 캠페인 (0) | 2024.05.17 |
| CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인 (0) | 2024.04.29 |