**Elastic Security Labs**の研究者たちが、マルウェア展開のために偽インストーラーを使用するキャンペーン「**REF1695**」に関する詳細を明らかにしました。Jia Yu Chan、Cyril François、Remco Sprooten氏によると、このグループはCPA（Cost Per Action）詐欺を通じて感染を収益化しており、ソフトウェア登録を装って被害者をコンテンツロッカーページに誘導しています。 ### 新しい.NETインプラント「CNB Bot」 「**REF1695**」キャンペーンの最近の反復では、「**CNB Bot**」と呼ばれる新しい.NETインプラントが配信されています。攻撃チェーンは、.NET Reactorで保護されたローダーとテキストファイルを含むISOファイルから始まります。テキストファイルは、ユーザーに「詳細情報」をクリックし、「実行」を選択することで**Microsoft Defender SmartScreen**を回避するように指示します。 ローダーは、広範な**Microsoft Defender Antivirus**の除外設定を行う**PowerShell**スクリプトを実行します。これにより、「**CNB Bot**」はユーザーに偽のエラーメッセージを表示しながらバックグラウンドで起動できるようになります。 「**CNB Bot**」はローダーとして機能し、さらなるペイロードのダウンロードと実行、自己更新、感染の痕跡を削除するためのクリーンアップを実行します。コマンド＆コントロール（C2）サーバーとはHTTP POSTリクエストを使用して通信します。 ### RAT、マイナー、カーネルエクスプロイト この脅威アクターに関連する他のキャンペーンでは、同様のISOルアーを使用して**PureRAT**、**PureMiner**、およびカスタム.NETベースの**XMRig**ローダーを展開していました。「**XMRig**」ローダーは、ハードコードされたURLからマイニング設定を取得し、マイナーペイロードを起動します。 「**FAUX#ELEVATE**」キャンペーンと同様に、「**REF1695**」は正規のものですが脆弱性のあるWindowsカーネルドライバー「WinRing0x64.sys」を悪用して、カーネルレベルのハードウェアアクセスを取得します。これにより、攻撃者はCPU設定を変更してハッシュレートをブーストし、マイニングパフォーマンスを向上させることができます。このドライバーの使用は多くのクリプトジャッキングキャンペーンで観察されており、2019年12月に「**XMRig**」マイナーに統合されました。 ### SilentCryptoMinerと永続化メカニズム **Elastic**は、「**SilentCryptoMiner**」を展開するキャンペーンも特定しました。このマイナーは、直接システムコールを使用して検出を回避し、Windowsのスリープおよび休止状態モードを無効にします。スケジューリングされたタスクを通じて永続化を確立し、「Winring0.sys」ドライバーを使用してマイニングのためにCPU設定を最適化します。 攻撃者は、悪意のあるアーティファクトや永続化メカニズムが削除された場合に復元されることを保証するために、ウォッチャプロセスを採用しています。このキャンペーンは、追跡された4つのウォレットで27.88 XMR（約9,392ドル）を蓄積したと報告されています。 ### ペイロード配信のためのGitHubの悪用 攻撃者はまた、ペイロード配信CDNとして**GitHub**を悪用しており、複数のアカウントにバイナリをホストしています。この技術は、ダウンロードと実行のステップを信頼されたプラットフォームに移行させ、検出の障壁を低減させます。