Злоумышленники используют фиктивные установщики для скрытого майнинга и кражи данных в длительной кампании

Кампания демонстрирует высокий уровень технической изощрённости и адаптивности. Атакующий постоянно развивает свои инструменты, меняет векторы заражения, но при этом сохраняет узнаваемые паттерны в инфраструктуре и методах социальной инженерии, что позволило исследователям связать разрозненные активности в единую операцию. Основной вектор проникновения - это образы дисков в формате ISO, распространяемые, вероятно, через сомнительные сайты с пиратским или бесплатным ПО. Внутри такого образа находится исполняемый файл, защищённый двумя слоями обфускации (Themida/WinLicense и .NET Reactor), и текстовый файл ReadMe.txt с инструкцией, как обойти встроенные защитные механизмы Windows, такие как SmartScreen.

Одним из ключевых открытий исследования стал ранее неизвестный .NET-имплант, названный CNB Bot. Он обладает функциями самоустановки, закрепления в системе и удалённого управления. Для связи с командным сервером (C2) используется шифрование AES-256-CBC, а уникальной особенностью является проверка RSA-подписи для всех поступающих заданий. Это означает, что даже при компрометации сервера управления злоумышленники не смогут подменить команды без наличия приватного ключа. Имплант также проводит детектирование виртуальных машин и, в случае подозрений, уходит в режим бесконечного сна, маскируясь под зависший процесс, вместо того чтобы завершить работу.

В другом варианте цепочки заражения используется связка из удалённого трояна PureRAT и майнера PureMiner. Анализ трафика, захваченного в песочницах VirusTotal, показал, что скомпрометированные системы получают с C2 команды на загрузку и выполнение дополнительных модулей, в частности, специализированного загрузчика для майнера XMRig. Этот загрузчик реализует хитрый механизм уклонения от обнаружения: он постоянно мониторит список запущенных процессов и, если обнаруживает инструменты для анализа (например, Process Hacker, Process Explorer, Wireshark или даже стандартный Диспетчер задач), немедленно останавливает процесс майнинга. Как только пользователь закрывает подозрительную программу, майнинг возобновляется. Это создаёт эффект "пряток", когда жертва не может понять причину повышенной нагрузки на процессор.

Для максимальной эффективности майнинга вредоносное ПО также предпринимает ряд действий по "оптимизации" системы. Оно отключает спящий режим и гибернацию с помощью команд powercfg, а также загружает драйвер WinRing0x64.sys, который предоставляет доступ к кольцу защиты 0 (ring 0), позволяя майнеру напрямую управлять регистрами процессора (MSR) для увеличения скорости вычислений. В рамках исследования эксперты Elastic Security Labs отследили финансовые потоки операции. Им удалось извлечь из конфигураций майнеров четыре публичных адреса кошельков Monero и, используя данные открытых пулов майнинга, оценить доходы злоумышленников. На момент анализа на эти кошельки было выплачено в общей сложности более 27.88 XMR (что эквивалентно примерно 9400 долларов США), при этом часть заражённых систем оставалась активной и продолжала майнинг.

В ходе исследования аналитики сообщили об использовании инновационного подхода к автоматизации анализа. Для обработки сотен образцов, многие из которых защищены многослойной обфускацией, была создана конвейерная система на основе языковой модели Claude Opus. Эта система в автоматическом режиме выполняла три ключевые задачи: триаж цепочек заражения на основе данных VirusTotal, распаковку защищённых бинарных файлов с помощью инструментов вроде Unlicense и NETReactorSlayer, а также извлечение конфигураций и полезных нагрузок. В случаях, когда стандартные скрипты не срабатывали, модель переходила в "режим исследования", анализируя код с помощью дизассемблера dnSpyEx и самостоятельно разрабатывая новые методы экстракции. Этот подход позволил значительно ускорить обработку большого массива данных.

Кампания REF1695 наглядно иллюстрирует современные тенденции в киберпреступности, где границы между разными типами угроз стираются. Одна и та же операция сочетает в себе традиционный крипджекинг для пассивного дохода, кражу данных и удалённый контроль через RAT, а также мошеннические схемы для сиюминутной прибыли. Успех этой длительной кампании, приносящей стабильный, хотя и не огромный, доход, объясняется тщательным планированием, использованием сложных техник уклонения и эксплуатацией человеческого фактора через социальную инженерию. Для защиты от подобных угроз специалистам по информационной безопасности необходимо уделять повышенное внимание анализу поведения процессов в системе, мониторингу сетевой активности на предмет подключений к подозрительным доменам, а также регулярно обучать пользователей правилам цифровой гигиены, предостерегая от запуска непроверенного ПО, особенно полученного из сомнительных источников.

IPv4 Port Combinations

• 172.94.15.211:5443

Domains

• autoupdatewinsystem.top
• softappsbase.top
• softwaredatabase.xyz
• winautordr.hopto.org
• winautordr.itemdb.com
• winautordr.kozow.com
• winautordr.ydns.eu
• windirautoupdates.top
• wndlogon.hopto.org
• wndlogon.itemdb.com
• wndlogon.kozow.com
• wndlogon.ydns.eu

Domain Port Combinations

• gulf.moneroocean.stream:10128

URLs

• https://autoupdatewinsystem.top/UWP1/api/endpoint.php
• https://autoupdatewinsystem.top/UWP1/cpu.txt
• https://softappsbase.top/UnammnrsettingsCPU.txt
• https://softappsbase.top/UnamWebPanel7/api/endpoint.php
• https://softwaredatabase.xyz/UnammnrsettingsCPU.txt
• https://softwaredatabase.xyz/UnamWebPanel7/api/endpoint.php
• tabbysbakescodes.ws/CNB/gate.php
• tommysbakescodes.cv/CNB/gate.php
• tommysbakescodes.ws/CNB/gate.php
• win64autoupdates.top/CNB/gate.php