Elasticsearchはこのほど、「Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs」において、脆弱なドライバーを悪用してエンドポイント検出応答(EDR: Endpoint Detection and Response)を無効化し、暗号資産マイナーを展開するサイバー攻撃のキャンペーン「REF4578」を発見したとして、注意を喚起した。

  • Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs

    Invisible miners: unveiling GHOSTENGINE’s crypto mining operations — Elastic Security Labs

侵害経路

このキャンペーンは「Tiworker.exe」を被害者に実行させるところから始まる。Elasticsearchはこのファイルがどのようにして被害者に配布されたのかを明らかにしていない。このファイルを実行すると、画像ファイルに偽装したPowerShellスクリプト「get.png」がダウンロード、実行される。

  • REF4578の侵害経路 — 引用:Elasticsearch

    REF4578の侵害経路  引用:Elasticsearch

PowerShellスクリプト「get.png」には次のような機能があるとされる。

  • コマンド&コントロール( C2: Command and Control)サーバから追加のツール、モジュール、構成ファイルをダウンロード、実行する。C2サーバが使用できない場合に備えバックアップサーバを用意しており、それぞれHTTPまたはFTPを使用してダウンロードを試みる
  • Windows Defenderを無効にする
  • リモートサービスを有効にする
  • 複数のWindowsイベントチャネルを消去する
  • C:ドライブに10MB以上の空き容量があることを確認する。空き容量がない場合は大きなファイルの削除を試みる。失敗すると十分なスペースのある別のドライブを探す
  • 永続性を確保するために、複数のタスクを追加する

Elasticsearchは主要な機能を持つ追加モジュールを「GHOSTENGINE」と名付けて分析している。GHOSTENGINEには、次のような機能があるとされる。

他にも追加モジュールとして「oci.dll」、「kill.png」、「backup.png」が実行される。これらには、追加の永続性確保、「get.png」の更新、エンドポイント検出応答(EDR)の継続的な検出と削除、バックドアの展開といった機能があるとされる。

影響と対策

ElasticsearchはXMRigの構成ファイルを取得しており、暗号資産「Monero」のマイニングを実行していることを突き止めている。また、攻撃者のマイニングプールについて調査し、2024年1月から3月までに合計約60.70ドルの利益を得ていたことを確認している。

Elasticsearchはこの攻撃を検出するためのYARAルールを、次のWebサイトで公開している。

また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を、「labs-releases/indicators/ghostengine at main · elastic/labs-releases · GitHub」からECSおよびSTIXフォーマットにて公開しており、必要に応じて活用することが望まれている。