HackerNews 编译,转载请注明出处:
代号REF1695的牟利运营自2023年11月起利用虚假安装程序部署远控木马(RAT)和加密货币挖矿程序。Elastic Security Labs研究人员本周分析指出,除挖矿外,威胁行为体还通过CPA欺诈获利,以软件注册为幌子诱导受害者访问内容锁定页面。
近期攻击迭代还投递了此前未记录的.NET植入程序CNB Bot。攻击利用ISO文件作为感染媒介,投递受.NET Reactor保护的加载器及文本文件,明确指示用户点击”更多信息”和”仍要运行”以绕过Microsoft Defender SmartScreen对未识别应用的防护。
该加载器调用PowerShell配置广泛的Microsoft Defender杀毒排除项以规避检测,并在后台启动CNB Bot。同时向用户显示错误信息:”无法启动应用。您的系统可能不符合所需规格。请联系支持。”
CNB Bot作为加载器,具备下载执行额外载荷、自我更新、卸载及清理痕迹的功能,通过HTTP POST请求与C2服务器通信。
威胁行为体的其他活动利用类似ISO诱饵部署PureRAT、PureMiner及定制.NET版XMRig加载器,后者连接硬编码URL提取挖矿配置并启动挖矿载荷。
与近期FAUX#ELEVATE活动类似,合法签名但存在漏洞的Windows内核驱动”WinRing0x64.sys”被滥用以获取内核级硬件访问权限,修改CPU设置提升算力。该功能于2019年12月加入XMRig挖矿程序。
Elastic还识别出另一场导致SilentCryptoMiner部署的活动。该挖矿程序除使用直接系统调用规避检测外,还禁用Windows睡眠和休眠模式,通过计划任务设置持久化,并使用”Winring0.sys”驱动微调CPU进行挖矿。
攻击另一关键组件为看门狗进程,确保恶意构件和持久化机制在被删除时恢复。据估计,该活动在四个追踪钱包中累计获取27.88 XMR(9392美元),表明运营为攻击者带来稳定财务回报。
“除C2基础设施外,威胁行为体滥用GitHub作为载荷分发CDN,在两个已识别账户中托管分阶段二进制文件,”Elastic表示,”该技术将下载执行步骤从运营者控制的基础设施转移至可信平台,降低检测阻力。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文