엘라스틱 시큐리티 랩스 사이버 보안 연구원들이 정교한 암호화폐 채굴 캠페인 'REF4578'을 발견했다.
이 캠페인은 '고스트엔진(GhostEngine)'이라는 악성 페이로드를 활용하여 취약한 드라이버를 악용하고 보안 솔루션을 비활성화한 뒤 XMRig 채굴기를 배포하고 있었다. 이는 악성 암호화폐 채굴의 새로운 위협으로 등장한 것이다.
◆REF4578의 핵심, GhostEngine
이 캠페인은 합법적인 윈도우 파일인 척하는 'Tiworker.exe' 파일을 실행하면서 시작된다. 이 파일은 고스트엔진의 초기 단계를 담당하며, 다양한 모듈을 다운로드하고 실행하기 위해 설계된 파워쉘 스크립트다. 이 모듈들은 감염된 장치에서 다양한 행동을 수행한다.
Tiworker.exe가 실행되면, 공격자의 C2 서버에서 'get.png'라는 이름의 파워쉘 스크립트를 다운로드한다. 이 스크립트는 고스트엔진의 주요 로더로 작동하며, 추가 모듈을 다운로드하고 윈도우 디펜더를 비활성화하고 원격 서비스를 활성화하며 다양한 윈도우 이벤트 로그를 삭제한다. 특히 get.png는 감염이 계속될 수 있도록 시스템에 최소 10MB의 여유 공간이 있는지 확인한다.
고스트엔진은 'OneDriveCloudSync', 'DefaultBrowserUpdate', 'OneDriveCloudBackup'라는 여러 예약 작업을 생성하여 지속성을 유지한다. 이러한 작업들은 시스템 재부팅이나 기타 중단 이후에도 악성 페이로드가 다시 실행되도록 한다.
다음 단계는 'smartscreen.exe'라는 실행 파일을 다운로드하고 실행하는 것이다. 이 실행 파일은 고스트엔진의 주요 페이로드로, EDR 소프트웨어를 종료하고 삭제하며 최종적으로 XMRig 채굴기를 다운로드하고 실행하는 일련의 악성 활동을 시작한다.
이 캠페인의 가장 우려스러운 측면 중 하나는 보안 제품을 비활성화하기 위해 취약한 커널 드라이버를 사용하는 것이다. 고스트엔진은 이를 위해 두 가지 특정 드라이버를 사용한다. EDR 프로세스를 종료하는 데 사용되는 어베스트 드라이버(aswArPots.sys)와 관련 실행 파일을 삭제하는 데 사용되는 Iobit 드라이버(IObitUnlockers.sys)다. 이러한 드라이버를 로드함으로써 시스템의 방어를 효과적으로 무력화하고 악성 페이로드가 방해받지 않고 작동하도록 한다.
엘라스틱 시큐리티가 분석한 단일 결제 ID에서 큰 금전적 이익은 발견되지 않았지만, 연구원들은 각 피해자가 고유한 지갑을 할당받을 가능성을 경고했다. 이는 전체적으로 상당한 이익을 낼 수 있다. 이러한 고유 지갑 할당 방식은 캠페인의 총 금전적 영향을 추적하기 어렵게 만든다.
고스트엔진을 방어하기 위해 엘라스틱 시큐리티 연구원들은 의심스러운 파워쉘 실행, 비정상적인 프로세스 활동, 암호화폐 채굴 풀로의 네트워크 트래픽을 주의 깊게 모니터링할 것을 권장했다. 또한 취약한 드라이버 배포 및 관련 커널 모드 서비스 생성은 환경 내에서 경고 신호로 취급해야 한다.
공격적인 방어 조치로는 aswArPots.sys 및 IObitUnlockers.sys와 같은 취약한 드라이버에서 파일 생성 차단을 권장한다. 엘라스틱 시큐리티 또한 고스트엔진 감염을 식별하는 데 도움이 되는 야라 규칙을 제공하여 보안 팀이 이 고도화된 위협으로부터 네트워크를 보호하는 데 중요한 도구를 제공하고 있다.