Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов
Главная » Новости

Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов

Татьяна Никитина 23 Мая 2024 - 10:05
...
Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов

Вредонос GhostEngine, распространяемый в рамках кампании с кодовым именем REF4578, загружает уязвимые драйверы ядра для отключения EDR-защиты Windows и установки майнера XMRig. Способ взлома серверов и количество жертв неизвестны.

В Elastic Security Labs изучили цепочку заражения и отметили чрезмерную сложность развертывания зловреда и обеспечения его постоянного присутствия в системе. Связанный с REF4578 монеро-кошелек, который удалось выявить, за три месяца суммарно собрал $60,7 и до сих пор активен.

Атака начинается с исполнения Tiworker.exe — скрипта PowerShell, замаскированного под легитимный инсталлятор модулей Windows. Этот стейджер получает с C2-сервера файл get.png с основным загрузчиком GhostEngine.

Второй PowerShell-сценарий загружает дополнительные инструменты, модули, конфигурационные данные. Он также отключает Microsoft Defender, открывает удаленный доступ к системе, чистит журналы Windows, проверяет доступную память (ему нужно не менее 10 Мбайт на диске для дальнейших действий) и создает запланированные задания в обеспечение постоянного присутствия (OneDriveCloudSync, DefaultBrowserUpdate и OneDriveCloudBackup).

Закончив приготовления, лоадер скачивает и запускает smartsscreen.exe — основную полезную нагрузку GhostEngine. Вредоносный экзешник, в свою очередь, готовит почву для криптомайнера: загружает уязвимые драйверы aswArPot.sys (модуль Avast, который с использует также AvosLocker) и IObitUnlocker.sys (Iobit — бесплатный чистильщик Windows) и с их помощью прибивает EDR-процессы и удаляет соответствующие файлы.

Параллельно на сервер загружается oci.dll (с привлечением Windows-службы MSDTC). Этот компонент отвечает за обновление GhostEngine.

Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

В России хотят криминализировать отсутствие IMEI в договоре о связи
Татьяна Никитина 14 Января 2026 - 14:51
Соответствие законодательству РФ Общее
В России хотят криминализировать отсутствие IMEI в договоре о связи

Минцифры РФ подготовило законопроект, вводящий уголовную ответственность за отсутствие IMEI в договоре об оказании услуг связи иностранцу или лицу без гражданства, действия которого повлекли ущерб в размере не менее 5 млн рублей.

Как выяснили «Ведомости», регулятор предлагает наказывать за подобное упущение штрафами от 300 тыс. до 500 тыс. руб. и даже тюремным заключением на срок до одного года. Новая инициатива выдвинута в рамках борьбы с телефонным мошенничеством.

Кто именно будет нести ответственность за отсутствие IMEI в договоре — продавец сим-карты, салон связи, дилер, телеоператор, законопроект не уточняет. По всей видимости, нарушителя будут определять в ходе разбирательства.

По закону «О связи» в текущей редакции, в договоре об оказании услуг, заключенном с иностранным гражданином либо лицом без гражданства, должен быть указан идентификатор устройства (IMEI), в котором будет использоваться российская сим-карта. В противном случае номер могут заблокировать.

Поправки, внесенные в ФЗ в 2024 году, обязали операторов связи провести проверку сведений о таких абонентах и привести договоры в соответствие норме до 1 июля 2025 года.

По данным Сбербанка, в 2025 году объём краж в результате дистанционного мошенничества увеличился на 15–20%, а общий ущерб мог составить 340–360 млрд рублей.

В пояснительной записке к новому законопроекту авторы отметили, что большинство схем обмана по телефону имеют транснациональный характер, и используемые мошенниками кол-центры находятся в основном за рубежом. Регистрация IMEI под угрозой уголовного преследования должна осложнить получение симок мошенниками.

Напомним, в этом году в рамках второго пакета мер противодействия мошенничеству Минцифры планирует запустить единую базу IMEI, позволяющую более точно определять, где и как используется мобильная связь.

На днях стало известно о еще одной инициативе Минцифры в рамках борьбы с телефонным мошенничеством: регулятор предложил увеличить штрафы до 1 млн руб. за продажу сим-карт в неположенных местах (сейчас предел за такое правонарушение составляет 500 тыс. рублей).

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Большая четверка предложила API для маркировки звонков
Новость
Большая четверка предложила API для маркировки звонков
Как готовят ИБ-экосистемы: новый выпуск «Инфобез со вкусом»
Новость
Как готовят ИБ-экосистемы: новый выпуск «Инфобез со вкусом»
В Узбекистане «утекла» система слежки за автомобилями по всей стране
Новость
В Узбекистане «утекла» система слежки за автомобилями по все...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.