GhostEngine という仮想通貨マイニングを実行する悪意のあるペイロードを展開しているのが発見されました。
初期侵入は明らかになっていませんが、攻撃者は正規の Windowsファイルを装った「Tiworker.exe」という名前のファイルの実行から始まります。
このファイルは、感染したデバイス上でさまざまな動作を実行するさまざまなモジュールをダウンロードするPowerShellスクリプトで、c2サーバから「get.png」という名称のPowerShell スクリプトをダウンロードします。
「get.png」はWindows Defenderを無効にし、リモート サービスを有効にして、さまざまなWindowsイベント ログをクリアします。
その後、「get.png」は永続性を保つため、感染したデバイスに10MB以上の空き容量があることを確認し、「OneDriveCloudSync」、「DefaultBrowserUpdate」、「OneDriveCloudBackup」という名前のスケジュールされたタスクを作成します。
さらに、GhostEngineの主なペイロードとして機能する 「smartsscreen.exe 」という名前の実行可能ファイルをダウンロードして起動します。
「smartsscreen.exe 」は、EDR ソフトウェアを終了するために、2 つの脆弱なカーネルドライバーをロードします。1 つは EDR プロセスを終了するために使用される aswArPots.sys (Avast ドライバー) で、もう 1 つは関連する実行可能ファイルを削除するために使用される IObitUnlockers.sys (Iobit ドライバー) で、EDRソフトウェアを無効化し、デバイスを掌握します。
高機能なEDRでAIの振る舞い検知があれば、「Tiworker.exe」の実行時点でそのファイルはブロック
されていると思います。
問題なのは、EDRは過検知が多く多くの組織では正しく運用できていない可能性があります。
不審なファイルの挙動をEDRが検知しても、その通信をブロックしない運用だった場合、このような攻撃が通ってしまうことがあります。
セキュリティ製品を入れても正しく運用できなければ、入れても効果は期待できません。
