ghostengine2 취약한 드라이버를 악용하는 GhostEngine 최근 “GhostEngine” 악성코드를 유포해 EDR(Endpoint Detection and Response) 프로세스를 종료하고 코인 마이너를 실행해 암호화폐를 채굴하는 캠페인이 발견됐다. 해당 캠페인은 취약한 윈도우 드라이버를 악용해 감염된 호스트에서 EDR 프로세스를 종료하고 종료된 프로세스의 실행 파일을 삭제한다. 이후, 공격자가 운영하는 C&C 서버에서 “XMRig” 코인 마이너를 다운로드 및 실행한다. EXE 형식의 다운로더 “Tiworker.exe”와 “GhostEngine” 악성코드의 동작 흐름도는 [그림 1]과 같다. 먼저, “Tiworker.exe”는 파워쉘 스크립트인 “get.png”를 다운로드 및 실행하며, 스크립트는 각 모듈과 윈도우 드라이버를 다운로드한다. 다운로드된 모듈 중.. 2024. 6. 17. GhostEngine을 이용한 암호화폐 채굴 캠페인 최근 “GhostEngine”을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다. 현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 “GhostEngine”은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 “XMRig”를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다. 이에 대해 보안 업체 Elastic Security Labs 측은 “GhostEngine”을 식별할 수 있는 YARA 규칙을 배포하고 있다. 사진 출처 : Elastic Security Labs 출처[1] Elastic.. 2024. 5. 23. 이전 1 다음
