Last Updated on 2024-05-23 07:49 by TaTsu
新たに発見されたマルウェア「GhostEngine」(別名Hidden Shovel)は、カーネルドライバーを攻撃してセキュリティ防御システムを停止させ、検出を回避するよう設計されている。このマルウェアは、エンドポイント検出および対応(EDR)ソリューションを回避するために脆弱なドライバーを標的にし、特に暗号マイニングキャンペーンのために使用されている。
Elastic Security Labsの研究者たちは、REF4578と呼ばれる「侵入セット」を特定し、このセットがGhostEngineマルウェアを使用してEDRを無効化することを明らかにした。攻撃は、持続性の確立、未文書のバックドアのインストール、そして暗号マイナーの実行を含む。
Antiy Labsのチームもこの攻撃を観察し、「Hidden Shovel」と呼ばれるマイニングトロイの木馬であると特徴づけ、EDRを無効にしバックドアをインストールする二段階アプローチを提供すると述べた。
攻撃の目的は、企業ネットワーク内のセキュリティバリアを排除し、管理者が行動を検出することなく暗号通貨をマイニングすることである。攻撃者が使用する正当なマイナーはXMRigで、Moneroをマイニングするために利用される。
GhostEngineの攻撃ベクトルとして、REF4578の初期侵入は、正当なWindows TiWorker.exeファイルを模倣したTiworker.exeというPEファイルの実行によって発生する。このプロセスは、攻撃者のコマンドアンドコントロール(C2)サーバーから攻撃者ツール、GhostEngineマルウェアモジュール、および設定をダウンロードして実行する。
GhostEngineは、セキュリティツールを操作し、バックドアを作成し、ソフトウェアアップデートをチェックするモジュールをダウンロードして実行する。また、EDRエージェントコントローラーとマイナーモジュールを含み、主に活動中のEDRエージェントプロセスを終了させた後に暗号マイナーをダウンロードしてインストールする。
GhostEngineの検出について、攻撃者がEDRソリューションを回避する攻撃を以前から行っているため、これらのバリアが侵害されたときに検出する方法を特定することが重要である。Elasticの研究者たちは、ネットワーク上でその存在を検出するために、初期行動の検出と防止を優先することを推奨している。
【編集者追記】用語解説
- GhostEngine: マルウェアの名称で、EDRソフトウェアを無効化し、暗号通貨マイナーをインストールする悪質なマルウェア。
- EDR (Endpoint Detection and Response): エンドポイント(PC、サーバーなど)の動作を監視し、不審な挙動を検知して対応するセキュリティソリューション。
- XMRig: オープンソースの暗号通貨マイナーソフトウェア。GhostEngineはこれをインストールしてモネロ(XMR)の採掘を行う。
- Monero (XMR): プライバシー重視の暗号通貨。GhostEngineはこの通貨の採掘を行う。
- Elastic Security Labs: このマルウェア攻撃を発見したセキュリティ研究チーム。
- Antiy Labs: 中国の大手セキュリティベンダー。Elastic Security Labsと共同でこの攻撃を分析
【参考リンク】
Elastic Security Labsオフィシャルサイト(外部)
Monero(外部)
XMRig(外部)
【関連記事】
innovaTopiaでサイバーセュリティーに関する記事をもっと読む
【ニュース解説】
新たに発見された「GhostEngine」マルウェア(別名Hidden Shovel)は、セキュリティ防御システムを回避するために、特にエンドポイント検出および対応(EDR)ソリューションを標的にしています。このマルウェアは、脆弱なドライバーを利用してEDRエージェントを終了させ、検出を避けることができるように設計されており、主に暗号マイニングキャンペーンに利用されています。
Elastic Security LabsとAntiy Labsの研究チームによって特定されたこの攻撃は、持続性の確立、未文書のバックドアのインストール、そして暗号マイナーの実行を含む複雑な手法を採用しています。攻撃者は、企業ネットワーク内のセキュリティバリアを排除し、管理者が気づかない間にMoneroをマイニングするために、正当なマイナーであるXMRigを使用しています。
GhostEngineの攻撃ベクトルは、正当なWindows TiWorker.exeファイルを模倣したTiworker.exeというPEファイルの実行から始まります。このファイルは、攻撃者のコマンドアンドコントロール(C2)サーバーから攻撃者ツール、GhostEngineマルウェアモジュール、および設定をダウンロードして実行します。このマルウェアは、セキュリティツールを操作し、バックドアを作成し、ソフトウェアアップデートをチェックするためのモジュールをダウンロードして実行します。
GhostEngineの検出に関しては、攻撃者がEDRソリューションを回避するために以前から行っている攻撃を考慮すると、これらのバリアが侵害されたときに検出する方法を特定することが重要です。Elasticの研究者たちは、ネットワーク上でその存在を検出するために、初期行動の検出と防止を優先することを推奨しています。
このマルウェアの発見は、セキュリティコミュニティにとって重要な意味を持ちます。まず、セキュリティシステムを回避するための新たな手法が常に開発されていることを示しています。これは、セキュリティ対策の継続的な更新と改善の必要性を強調しています。また、企業や組織は、セキュリティインフラの脆弱性を定期的に評価し、攻撃者が利用可能な脆弱性を特定して修正することが重要です。
さらに、GhostEngineのようなマルウェアは、暗号マイニングだけでなく、データ盗難やランサムウェア攻撃など、他の悪意ある活動にも利用される可能性があります。そのため、この種の脅威に対する防御策を強化することが、企業のセキュリティ戦略においてますます重要になっています。
最後に、GhostEngineの発見は、セキュリティ研究者間の情報共有の価値を再確認させます。攻撃手法や脅威の詳細を共有することで、より迅速に対応策を開発し、広範なネットワークを保護することが可能になります。セキュリティコミュニティが連携し、情報を共有することは、進化するサイバー脅威に対抗する上で不可欠です。
from Novel EDR-Killing 'GhostEngine' Malware Is Built for Stealth.
