최신 보안 동향

GhostEngine을 이용한 암호화폐 채굴 캠페인

TACHYON & ISARC 2024. 5. 23. 17:32

최근 GhostEngine을 사용해 몰래 암호화폐를 채굴한 캠페인이 발견됐다.

 

현재까지 공격자가 시스템에 침투한 경로는 밝혀지지 않았으나, Tiworker.exe 파일을 실행할 때 캠페인의 감염 체인이 시작된 것으로 알려졌다. 또한, 해당 캠페인에서 사용된 GhostEngine은 취약한 드라이브를 이용해 엔드포인트의 보안 프로그램을 종료하고 삭제한 것이 밝혀졌다. 이후에는 감염시킨 시스템에 XMRig를 배포해 암호화폐를 채굴하는데, 이는 해당 캠페인의 궁극적인 목표로 전해졌다.

 

이에 대해 보안 업체 Elastic Security Labs 측은 GhostEngine을 식별할 수 있는 YARA 규칙을 배포하고 있다.

 

[암호화폐 채굴 캠페인 흐름도]

사진 출처 : Elastic Security Labs

 

출처

[1] Elastic Security Labs (2024.05.23) – Invisible miners: unveiling GHOSTENGINE’s crypto mining operations

https://www.elastic.co/security-labs/invisible-miners-unveiling-ghostengine