Forscher von **Elastic Security Labs** haben Details über **REF1695** aufgedeckt, eine Kampagne, die gefälschte Installer zur Verbreitung von Malware einsetzt. Laut Jia Yu Chan, Cyril François und Remco Sprooten monetarisiert die Gruppe Infektionen durch CPA (Cost Per Action)-Betrug, indem sie Opfer unter dem Vorwand der Software-Registrierung auf Content-Locker-Seiten leitet. ### CNB Bot: Ein neues .NET-Implantat Neuere Iterationen der **REF1695**-Kampagne beinhalten die Auslieferung eines neuen .NET-Implantats namens **CNB Bot**. Die Angriffskette beginnt mit einer ISO-Datei, die einen durch .NET Reactor geschützten Loader und eine Textdatei enthält. Die Textdatei weist den Benutzer an, **Microsoft Defender SmartScreen** zu umgehen, indem er auf "Weitere Informationen" und "Trotzdem ausführen" klickt. Der Loader führt ein **PowerShell**-Skript aus, das breite Ausschlüsse für **Microsoft Defender Antivirus** konfiguriert. Dies ermöglicht **CNB Bot**, im Hintergrund zu starten, während dem Benutzer eine gefälschte Fehlermeldung angezeigt wird. **CNB Bot** fungiert als Loader, der weitere Payloads herunterlädt und ausführt, sich selbst aktualisiert und Bereinigungsarbeiten durchführt, um Spuren der Infektion zu beseitigen. Er kommuniziert mit seinem Command-and-Control (C2)-Server über HTTP POST-Anfragen. ### RATs, Miner und Kernel-Exploitation Andere Kampagnen, die mit diesem Bedrohungsakteur in Verbindung gebracht werden, haben ähnliche ISO-Köder verwendet, um **PureRAT**, **PureMiner** und einen benutzerdefinierten .NET-basierten **XMRig**-Loader zu verbreiten. Der **XMRig**-Loader ruft Mining-Konfigurationen von einer fest kodierten URL ab und startet die Miner-Payload. Ähnlich wie die **FAUX#ELEVATE**-Kampagne missbraucht **REF1695** "WinRing0x64.sys", einen legitimen, aber anfälligen Windows-Kernel-Treiber, um Zugriff auf die Hardware auf Kernel-Ebene zu erhalten. Dies ermöglicht es den Angreifern, CPU-Einstellungen zu ändern, um die Hash-Raten für eine verbesserte Mining-Leistung zu erhöhen. Die Verwendung dieses Treibers wurde in vielen Krypto-Mining-Kampagnen beobachtet und im Dezember 2019 in **XMRig**-Minern integriert. ### SilentCryptoMiner und Persistenzmechanismen **Elastic** identifizierte auch Kampagnen, die **SilentCryptoMiner** einsetzen. Dieser Miner verwendet direkte Systemaufrufe, um Erkennung zu umgehen, und deaktiviert die Windows Sleep- und Hibernate-Modi. Er etabliert Persistenz über eine geplante Aufgabe und nutzt den "Winring0.sys"-Treiber, um CPU-Einstellungen für das Mining zu optimieren. Die Angreifer verwenden einen Watchdog-Prozess, um sicherzustellen, dass bösartige Artefakte und Persistenzmechanismen wiederhergestellt werden, falls sie gelöscht werden. Die Kampagne hat Berichten zufolge 27,88 XMR (ungefähr 9.392 US-Dollar) über vier verfolgte Wallets angesammelt. ### Missbrauch von GitHub zur Payload-Bereitstellung Die Bedrohungsakteure missbrauchen auch **GitHub** als CDN für die Payload-Bereitstellung und hosten Binärdateien über mehrere Konten hinweg. Diese Technik verlagert den Download- und Ausführungsschritt auf eine vertrauenswürdige Plattform und reduziert die Erkennungsreibung.