EDRを削除して暗号資産マイナーを展開するサイバー攻撃に注意

画像提供：マイナビニュース

Elasticsearchはこのほど、「Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs」において、脆弱なドライバーを悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を無効化し、暗号資産マイナーを展開するサイバー攻撃のキャンペーン「REF4578」を発見したとして、注意を喚起した。

○侵害経路

このキャンペーンは「Tiworker.exe」を被害者に実行させるところから始まる。Elasticsearchはこのファイルがどのようにして被害者に配布されたのかを明らかにしていない。このファイルを実行すると、画像ファイルに偽装したPowerShellスクリプト「get.png」がダウンロード、実行される。

PowerShellスクリプト「get.png」には次のような機能があるとされる。

コマンド＆コントロール( C2: Command and Control)サーバから追加のツール、モジュール、構成ファイルをダウンロード、実行する。C2サーバが使用できない場合に備えバックアップサーバを用意しており、それぞれHTTPまたはFTPを使用してダウンロードを試みる
Windows Defenderを無効にする
リモートサービスを有効にする
複数のWindowsイベントチャネルを消去する
C:ドライブに10MB以上の空き容量があることを確認する。空き容量がない場合は大きなファイルの削除を試みる。失敗すると十分なスペースのある別のドライブを探す
永続性を確保するために、複数のタスクを追加する

Elasticsearchは主要な機能を持つ追加モジュールを「GHOSTENGINE」と名付けて分析している。GHOSTENGINEには、次のような機能があるとされる。

Avastアンチルートキットドライバー「aswArPot.sys」の脆弱性を悪用し、エンドポイント検出応答(EDR: Endpoint Detection and Response)を終了させる(参考：「AvastとAVGのアンチウイルスソフトに重大な脆弱性、OS破壊の恐れも | TECH+（テックプラス）」)
IObitのドライバー「iobitunlockers.sys」に存在する脆弱性を悪用し、セキュリティソリューションを削除する
暗号通貨マイナー「XMRig」をダウンロードしてマイニングを開始する