Специалисты Elastic Security Labs обнаружили масштабную кибероперацию, которая работает как минимум с ноября 2023 года. Исследователи Цзя Юй Чан, Кирилл Франсуа и Ремко Спрутен присвоили кампании кодовое обозначение REF1695 и на этой неделе опубликовали подробный разбор её механики. Суть проста и при этом эффективна: злоумышленники распространяют вредоносные ISO-файлы под видом популярных программ, а внутри прячут трояны удалённого доступа, криптомайнеры и ранее неизвестный.NET-имплант.
Мотивация атакующих целиком финансовая. Деньги поступают по двум каналам. Первый — классический криптомайнинг на заражённых машинах. Второй — так называемое CPA-мошенничество (Cost Per Action), при котором жертву перенаправляют на страницы с контент-локерами, замаскированные под регистрационные формы программного обеспечения. Каждое действие пользователя на таких страницах приносит злоумышленникам рекламный доход.
Цепочка заражения начинается с ISO-файла. Внутри него лежит текстовый файл с инструкцией — жертву просят обойти Microsoft Defender SmartScreen, нажав «Подробнее», а затем «Всё равно выполнить». После запуска пользователь видит поддельное сообщение об ошибке: «Невозможно запустить приложение. Возможно, ваша система не соответствует требуемым характеристикам. Пожалуйста, обратитесь в службу поддержки.» Пока человек недоумевает, в фоновом режиме разворачивается загрузчик, Reactor. Он вызывает PowerShell для настройки широких исключений в Microsoft Defender Antivirus и запускает основную полезную нагрузку.
Главная находка исследователей — ранее недокументированный.NET-имплант под названием CNB Bot. Он работает как загрузчик: скачивает и запускает дополнительные компоненты, умеет обновлять сам себя, удаляться и зачищать следы присутствия. Для связи с командным сервером CNB Bot использует HTTP POST-запросы. Именно через него на машину попадают остальные элементы — PureRAT, PureMiner и специализированный.NET-загрузчик для XMRig, который извлекает конфигурацию майнера из жёстко прописанного URL.
Отдельного внимания заслуживает SilentCryptoMiner. Этот компонент использует прямые системные вызовы, чтобы обходить антивирусное детектирование. Он отключает режимы сна и гибернации Windows, закрепляется в системе через запланированную задачу. Рядом с ним работает процесс-сторож: если кто-то удалит вредоносные файлы или механизмы закрепления, сторож их восстановит.
Интересный технический нюанс связан с драйверами. Кампания FAUXELEVATE, являющаяся частью REF1695, злоупотребляет легитимным подписанным, но уязвимым драйвером WinRing0x64.sys. Через него атакующие получают доступ к аппаратным настройкам на уровне ядра и модифицируют параметры CPU для повышения хешрейта. Такая функциональность была добавлена в майнеры XMRig ещё в декабре 2019 года. SilentCryptoMiner тоже задействует аналогичный драйвер — Winring0.sys — для тонкой настройки процессора под нужды майнинга.
Для доставки вредоносных файлов атакующие приспособили GitHub в качестве CDN. Бинарные файлы размещались на двух выявленных аккаунтах. Расчёт прозрачен: загрузка с доверенной платформы вызывает куда меньше подозрений у защитных систем, чем обращение к неизвестному серверу, который контролируют сами операторы.
По данным Elastic Security Labs, общий отслеженный доход от криптомайнинга составил 27,88 XMR (Monero), что в пересчёте на фиатную валюту примерно 9 392 доллара. Сумма распределена по четырём отслеженным кошелькам. Цифры кажутся скромными, но исследователи подчёркивают, что операция генерирует стабильный денежный поток, а учитывая дополнительный заработок на CPA-мошенничестве, реальный доход наверняка выше.
Кампания REF1695 показательна своей многослойностью. Тут и социальная инженерия с инструкциями по обходу SmartScreen, и злоупотребление легитимной инфраструктурой GitHub, и целый арсенал вредоносного ПО от загрузчиков до сторожевых процессов. Атакующие не изобретают ничего принципиально нового — они комбинируют уже известные техники, и делают это достаточно грамотно, чтобы оставаться активными больше полутора лет.
Изображение носит иллюстративный характер
Мотивация атакующих целиком финансовая. Деньги поступают по двум каналам. Первый — классический криптомайнинг на заражённых машинах. Второй — так называемое CPA-мошенничество (Cost Per Action), при котором жертву перенаправляют на страницы с контент-локерами, замаскированные под регистрационные формы программного обеспечения. Каждое действие пользователя на таких страницах приносит злоумышленникам рекламный доход.
Цепочка заражения начинается с ISO-файла. Внутри него лежит текстовый файл с инструкцией — жертву просят обойти Microsoft Defender SmartScreen, нажав «Подробнее», а затем «Всё равно выполнить». После запуска пользователь видит поддельное сообщение об ошибке: «Невозможно запустить приложение. Возможно, ваша система не соответствует требуемым характеристикам. Пожалуйста, обратитесь в службу поддержки.» Пока человек недоумевает, в фоновом режиме разворачивается загрузчик, Reactor. Он вызывает PowerShell для настройки широких исключений в Microsoft Defender Antivirus и запускает основную полезную нагрузку.
Главная находка исследователей — ранее недокументированный.NET-имплант под названием CNB Bot. Он работает как загрузчик: скачивает и запускает дополнительные компоненты, умеет обновлять сам себя, удаляться и зачищать следы присутствия. Для связи с командным сервером CNB Bot использует HTTP POST-запросы. Именно через него на машину попадают остальные элементы — PureRAT, PureMiner и специализированный.NET-загрузчик для XMRig, который извлекает конфигурацию майнера из жёстко прописанного URL.
Отдельного внимания заслуживает SilentCryptoMiner. Этот компонент использует прямые системные вызовы, чтобы обходить антивирусное детектирование. Он отключает режимы сна и гибернации Windows, закрепляется в системе через запланированную задачу. Рядом с ним работает процесс-сторож: если кто-то удалит вредоносные файлы или механизмы закрепления, сторож их восстановит.
Интересный технический нюанс связан с драйверами. Кампания FAUXELEVATE, являющаяся частью REF1695, злоупотребляет легитимным подписанным, но уязвимым драйвером WinRing0x64.sys. Через него атакующие получают доступ к аппаратным настройкам на уровне ядра и модифицируют параметры CPU для повышения хешрейта. Такая функциональность была добавлена в майнеры XMRig ещё в декабре 2019 года. SilentCryptoMiner тоже задействует аналогичный драйвер — Winring0.sys — для тонкой настройки процессора под нужды майнинга.
Для доставки вредоносных файлов атакующие приспособили GitHub в качестве CDN. Бинарные файлы размещались на двух выявленных аккаунтах. Расчёт прозрачен: загрузка с доверенной платформы вызывает куда меньше подозрений у защитных систем, чем обращение к неизвестному серверу, который контролируют сами операторы.
По данным Elastic Security Labs, общий отслеженный доход от криптомайнинга составил 27,88 XMR (Monero), что в пересчёте на фиатную валюту примерно 9 392 доллара. Сумма распределена по четырём отслеженным кошелькам. Цифры кажутся скромными, но исследователи подчёркивают, что операция генерирует стабильный денежный поток, а учитывая дополнительный заработок на CPA-мошенничестве, реальный доход наверняка выше.
Кампания REF1695 показательна своей многослойностью. Тут и социальная инженерия с инструкциями по обходу SmartScreen, и злоупотребление легитимной инфраструктурой GitHub, и целый арсенал вредоносного ПО от загрузчиков до сторожевых процессов. Атакующие не изобретают ничего принципиально нового — они комбинируют уже известные техники, и делают это достаточно грамотно, чтобы оставаться активными больше полутора лет.
