최신 보안 동향
GhostEngine을 이용한 암호화폐 채굴 캠페인
TACHYON & ISARC
2024. 5. 23. 17:32
최근 “GhostEngine”을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다.
현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 “GhostEngine”은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 “XMRig”를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다.
이에 대해 보안 업체 Elastic Security Labs 측은 “GhostEngine”을 식별할 수 있는 YARA 규칙을 배포하고 있다.
사진 출처 : Elastic Security Labs
출처
[1] Elastic Security Labs (2024.05.23) – Invisible miners: unveiling GHOSTENGINE’s crypto mining operations
https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine