Seit Ende 2023 haben Forscher von Elastic Security Labs einen wirtschaftlich motivierten Betrieb dokumentiert, der falsche Installateure verwendet, um sowohl entfernte Trojaner (RAT) als auch Kryptomoneda-Mining-Geräte einzuführen. Unter dem Schlüsselnamen REF1695 steht die Kampagne für die Kombination der klassischen Sozialtechnik mit Techniken, die sich auf die Verdrängung von Systemabwehren und die Maximierung der Minenleistung, sowie monetisierende Infektionen durch CPA-Betrug, die Opfer zu "Content Schließfach" Seiten bringen. Für diejenigen, die an der ursprünglichen Forschung und technischen Analyse interessiert sind, stehen die allgemeinen Informationen der Elastischen Sicherheitsteams zur Verfügung: Elastic und die Kommuniqués Ihres Sicherheitsteams.
Die Infektionskette, die Analysten beschreiben, ist Teil einer sehr traditionellen Deko: eine ISO-Datei, die der Benutzer reitet, indem er glaubt, einen legitimen Installer enthalten. Innerhalb der ISO ist ein .NET Reactor-geschütztes Ladegerät und eine Textdatei mit expliziten Anweisungen für das Opfer, um Microsoft Defender SmartScreens Warnungen zu vermeiden. Diese Indikationen bitten den Benutzer, auf "Weitere Informationen" und dann auf "Run sowieso", die die nicht erkannte Anwendung laufen lassen. Die offizielle Dokumentation von Microsoft über SmartScreen erklärt, warum diese Schutzmaßnahmen auftreten und welche Risiken es mit sich bringt, sie zu ignorieren; sie sollte in Microsoft Defender SmartScreen.
Das Ladegerät, entworfen, um PowerShell zu rufen, macht zwei kritische Aktionen: es setzt weite Ausschlüsse in Microsoft Defender Antivirus, so dass die Proben nicht erkannt werden und startet im Hintergrund ein .NET-Implantat vor kurzem beobachtet und getauft von Forschern wie CNB Bot. Benutzer werden einen Fehlerbildschirm angezeigt, der den Fehler rechtfertigen soll: eine Nachricht, die darauf hindeutet, dass das System "die Spezifikationen nicht erfüllt" und zur Kontaktunterstützung führt, so dass das Opfer die Aktivität im Hintergrund nicht vermutet.
KN-Code Bot fungiert als modulares Ladegerät: Sie können zusätzliche Lasten herunterladen und ausführen, sich aktualisieren und auch deinstallieren und Spuren entfernen, um die Analyse schwierig zu machen. Ihre Kommunikation mit dem Befehls- und Steuerserver (C2) erfolgt durch HTTP POST-Anfragen, eine einfache, aber effektive Methode zum Austausch von Anweisungen und Binaries in großformatigen Kampagnen.
Neben CNB Bot, Elastische Dokumente Varianten der gleichen ISO-Decoy, die verwendet haben, um Malware-Familien wie PureRAT und PureMiner, und ein .NET-basiertes Ladegerät für XMRig, das eine feste URL konsultiert, um seine Mineneinstellungen zu erhalten. Ein besonders besorgniserregender Aspekt dieser Kampagnen ist der Missbrauch von legitimen und signierten Kernel-Controllern, insbesondere Varianten wie WinRing0x64.sys oder Winring0.sys, die den Zugriff auf Kernelebene ermöglichen, CPU-Parameter einzustellen und die Abbau Hashrate zu erhöhen. Die Verwendung dieser Art von Treibern als Hebel zur Verbesserung der Leistung in schädlichen Kryptominery ist nicht neu: XMRig integrierte verwandte Fähigkeiten im Dezember 2019 und seitdem verschiedene Akteure haben sie verwendet, um Ressourcen von infizierten Maschinen zu drücken. Die Taxonomie der MITRE ATT & CK-Techniken bietet nützlichen Kontext, um die Auswirkungen der Änderung von Verteidigungs- oder Missbrauchstreibern besser zu verstehen MITRE ATT & CK - Impair Defenses.
Ein weiteres in den Operationen von REF1695 beobachtetes Stück ist SilentCryptoMiner, ein Bergmann, der zusätzliche Maßnahmen trifft, um Erkennungen zu mock und maximieren uptime: Er nutzt direkte Anrufe an das System (Syscalls) zu dodge Sicherheitshaken, verhindert Windows in Suspensions- oder Winterschlafmodi, stellt Persistenz durch programmierte Aufgaben fest und verwendet Kernel-Level-Controller zur Optimierung der CPU-Konfiguration. Um sicherzustellen, dass die Bergbauaktivität nicht unterbrochen wird, enthalten die Betreiber auch einen "watchdog" Prozess, der Artefakte und Persistenzmechanismen wiederherstellt, wenn sie beseitigt werden.
Was die wirtschaftliche Belohnung angeht, scheint der Schauspieler ständige Rückgänge zu erhalten: Elastische Schätzungen, die 27,88 XMR bewegt haben, etwa $9.400 auf die Referenzänderung, verteilt in vier Portfolios, die sie in der Lage zu verfolgen. Diese Zahl zeigt, dass die Kampagne, obwohl sie nicht unbedingt massiv im Vergleich zu anderen kriminellen Operationen ist, wirtschaftlich und nachhaltig ist.
Ein betriebswirtschaftliches Detail ist der Einsatz zuverlässiger Plattformen als Ersatz für eigene Infrastruktur. Forscher haben beobachtet, dass die Täter binäre Schritte in GitHub-Konten zu dienen als CDN. Diese Strategie reduziert die Erkennungsreibung, weil GitHubs Domains und Server oft einen guten Ruf genießen und weniger strenge Filter passieren als die Infrastruktur, die von den Angreifern vollständig kontrolliert wird. GitHub hat Leitlinien und Richtlinien zur korrekten Nutzung seiner Dienste veröffentlicht; in jedem Fall ist der Missbrauch legitimer Plattformen bereits ein wiederkehrender Trend in der modernen Wirtschaftskriminalität.
Welche Lektüre bleibt für Administratoren und Benutzer übrig? Die Kombination aus überzeugenden Lures, Missbrauch von Systemfunktionen und der Nutzung legitimer Dienste zeigt, dass die Verteidigung mit den eigenen Handlungen des Benutzers mehrfach und kritisch sein muss. Vermeiden Sie die Montage oder den Betrieb von unverified ISO-Bildern, Misstrauen von Anweisungen, die Sicherheitswarnungen vermeiden, restriktive Richtlinien auf die Ausführung von Skripten und auf die Installation von Kernel-Controllern anwenden und überwachen sowohl die abnorme Verwendung von CPU- als auch ausgehende HTTP-Verbindungen auf unbekannte Server sind Maßnahmen, die das Risiko erheblich reduzieren. Es wird auch empfohlen, die Konten von GitHub und anderen Plattformen, in denen Binaries untergebracht werden können, zu prüfen und Regeln anzuwenden, die Downloads von nicht genehmigten Repositories inspizieren und blockieren.
Die Kampagne REF1695 erinnert daran, dass geld motivierte Akteure soziale Technik und technische Techniken für den Zugang, die Beharrlichkeit und Leistung kombinieren. Die beste Verteidigung bleibt eine Mischung aus Benutzerbewusstsein, Wartung aktueller Sicherheitskontrollen und Erkennungsfunktionen, die sowohl das abnorme Systemverhalten (CPU-Peaks, Antivirenausschlüsse, verdächtige geplante Aufgaben) als auch den Missbrauch legitimer Malware-Lieferdienste identifizieren können. Für diejenigen, die Minenwerkzeuge und ihre Implementierungen vertiefen wollen, bietet das offizielle XMRig-Repository technischen Kontext auf der Software, die oft von bösartigen Schauspielern wiederverwendet wird: XMRig in GitHub. Wenn Sie im Detail die Techniken der Nutzung und Verpackung in .NET wissen wollen, die kommerzielle Lösung . NET Reactor, der von einigen Angriffen verwendet wird, kann bei Eziriz - .NET Reactor.
Kurz gesagt, REF1695 führt keine völlig neue Technik ein, aber es spiegelt die Effektivität der Kombination von Social Engineering Tricks mit geringem Systemmissbrauch und die Verwendung von "Trust"-Infrastruktur, um lukrative und dauerhafte Operationen zu erhalten. Die Antwort geht durch technische Schutzschichten, Software-Kontrollrichtlinien und, vielleicht vor allem, Benutzer trainiert, nicht blind zu laufen, was als "Installer" in einer Datei erscheint, die nicht von einer verifizierten Quelle kommt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...