【安全圈】研究人員發(fā)現(xiàn)利用 ISO 誘餌傳播遠(yuǎn)控木馬和挖礦程序的運(yùn)營(yíng)活動(dòng)

關(guān)鍵詞

木馬

代號(hào)REF1695的牟利運(yùn)營(yíng)自2023年11月起利用虛假安裝程序部署遠(yuǎn)控木馬（RAT）和加密貨幣挖礦程序。Elastic Security Labs研究人員本周分析指出，除挖礦外，威脅行為體還通過(guò)CPA欺詐獲利，以軟件注冊(cè)為幌子誘導(dǎo)受害者訪問內(nèi)容鎖定頁(yè)面。

近期攻擊迭代還投遞了此前未記錄的.NET植入程序CNB Bot。攻擊利用ISO文件作為感染媒介，投遞受.NET Reactor保護(hù)的加載器及文本文件，明確指示用戶點(diǎn)擊”更多信息”和”仍要運(yùn)行”以繞過(guò)Microsoft Defender SmartScreen對(duì)未識(shí)別應(yīng)用的防護(hù)。

該加載器調(diào)用PowerShell配置廣泛的Microsoft Defender殺毒排除項(xiàng)以規(guī)避檢測(cè)，并在后臺(tái)啟動(dòng)CNB Bot。同時(shí)向用戶顯示錯(cuò)誤信息：”無(wú)法啟動(dòng)應(yīng)用。您的系統(tǒng)可能不符合所需規(guī)格。請(qǐng)聯(lián)系支持。”

CNB Bot作為加載器，具備下載執(zhí)行額外載荷、自我更新、卸載及清理痕跡的功能，通過(guò)HTTP POST請(qǐng)求與C2服務(wù)器通信。

威脅行為體的其他活動(dòng)利用類似ISO誘餌部署PureRAT、PureMiner及定制.NET版XMRig加載器，后者連接硬編碼URL提取挖礦配置并啟動(dòng)挖礦載荷。

與近期FAUX#ELEVATE活動(dòng)類似，合法簽名但存在漏洞的Windows內(nèi)核驅(qū)動(dòng)”WinRing0x64.sys”被濫用以獲取內(nèi)核級(jí)硬件訪問權(quán)限，修改CPU設(shè)置提升算力。該功能于2019年12月加入XMRig挖礦程序。

Elastic還識(shí)別出另一場(chǎng)導(dǎo)致SilentCryptoMiner部署的活動(dòng)。該挖礦程序除使用直接系統(tǒng)調(diào)用規(guī)避檢測(cè)外，還禁用Windows睡眠和休眠模式，通過(guò)計(jì)劃任務(wù)設(shè)置持久化，并使用”Winring0.sys”驅(qū)動(dòng)微調(diào)CPU進(jìn)行挖礦。

攻擊另一關(guān)鍵組件為看門狗進(jìn)程，確保惡意構(gòu)件和持久化機(jī)制在被刪除時(shí)恢復(fù)。據(jù)估計(jì)，該活動(dòng)在四個(gè)追蹤錢包中累計(jì)獲取27.88 XMR（9392美元），表明運(yùn)營(yíng)為攻擊者帶來(lái)穩(wěn)定財(cái)務(wù)回報(bào)。

“除C2基礎(chǔ)設(shè)施外，威脅行為體濫用GitHub作為載荷分發(fā)CDN，在兩個(gè)已識(shí)別賬戶中托管分階段二進(jìn)制文件，”Elastic表示，”該技術(shù)將下載執(zhí)行步驟從運(yùn)營(yíng)者控制的基礎(chǔ)設(shè)施轉(zhuǎn)移至可信平臺(tái)，降低檢測(cè)阻力。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！