Forscher haben eine neue Cyberangriffskampagne entdeckt, die als REF4578 bezeichnet wird und sichere EDR-Systeme (Endpoint Detection and Response) mittels anfälliger Treiber deaktiviert, um ungestört Krypto-Mining durchzuführen und schädliche Software zu installieren. Das Hauptwerkzeug dieser Kampagne ist eine Malware namens GHOSTENGINE.
Komplexe Angriffsstruktur und Ausführungsfluss:
GHOSTENGINE übernimmt die Steuerung der betroffenen Maschinen, indem sie Module lokalisiert und ausführt. Für den Download von Dateien aus einem konfigurierten Domain verwendet die Malware hauptsächlich HTTP, mit einer Backup-IP für den Fall, dass die Domain nicht verfügbar ist. FTP dient dabei als zusätzliches Backup-Protokoll mit eingebetteten Zugangsdaten.
Die Intrusion begann am 6. Mai 2024 mit der Ausführung einer als legitime Windows-Datei TiWorker.exe getarnten PE-Datei, berichtet Elastic Security Labs. Die anschließende Telemetrieaufzeichnung zeigte Alarmsignale, die darauf hinwiesen, dass ein bekannter anfälliger Treiber verwendet wurde.
Die PE-Datei lädt und führt ein PowerShell-Skript aus, das den gesamten Ausführungsfluss des Angriffs steuert. Dieses Skript lädt weitere Tools, Module und Konfigurationen vom Command-and-Control-Server (C2) der Angreifer herunter.
Deaktivierung von Sicherheitsfunktionen:
Das PowerShell-Skript versucht, Windows Defender zu deaktivieren, Remote-Dienste zu aktivieren und die Windows-Ereignisprotokolle zu bereinigen. Anschließend erstellt das Skript geplante Aufgaben wie OneDriveCloudSync, DefaultBrowserUpdate und OneDriveCloudBackup im SYSTEM-Kontext, um Persistenz zu etablieren.
Modulfunktionen und Endziel:
GHOSTENGINE installiert verschiedene Module, die unter anderem für Softwareupdates sorgen, mit Sicherheitswerkzeugen interagieren und eine Hintertür aufbauen können. Eine Hauptfunktion des Moduls smartscreen.exe besteht darin, laufende EDR-Agentenprozesse zu beenden, bevor ein Kryptowährungs-Miner heruntergeladen und eingerichtet wird.
Das Endziel des REF4578-Angriffssatzes ist es, eine dauerhafte Präsenz in der Umgebung zu sichern und einen Monero-Kryptominer, XMRig, zu installieren, so die Forscher.
Empfehlungen für den Schutz:
Aufgrund der Komplexität und der potenziellen Gefahren dieser Angriffe empfehlen Experten, die Sicherheit von Treibern und Endpunkten regelmäßig zu überprüfen und Systeme stets auf dem neuesten Stand zu halten. Zudem sollte man besonders vorsichtig sein, wenn man Software aus unbekannten oder unsicheren Quellen herunterlädt.