偽のソフトウェアインストーラーは、2023年後半に遡る複数のキャンペーン全体でリモートアクセストロイの木馬(RAT)、モネロ暗号マイナー、新しい.NETインプラントをドロップするために使用されている長期実行中のマルウェア操作で使用されています。
REF1695は、正当なソフトウェアセットアップパッケージを模倣した、ISO ベースの偽のインストーラーに依存していますが、実際のアプリケーションは提供されません。
代わりに、ユーザーはReadMe形式のSmartScreenをバイパスするための誘いを通じてガイドされ、署名のないバイナリを実行し、知らないうちに多段階の感染チェーンを開始します。
キャンペーン全体を通じて、オペレーターは一貫してThemida/WinLicenseを使用し、.NET Reactorと組み合わせて、ローダーとペイロードの両方を保護し、静的分析とシグネチャベースの検出を遅延させます。
Elastic Security LabsはアクティビティをREF1695として追跡し、共有されたパッキング技術、重複するコマンド・アンド・コントロール(C2)インフラストラクチャ、およびほぼ同一のソーシャルエンジニアリング誘いを通じてその様々な波をリンクしています。
キャンペーンは、PureRAT、PureMiner、カスタム.NETベースのXMRigローダー、SilentCryptoMiner、およびCNB Botとして昵称されている以前は文書化されていない.NETインプラントを含むツールセットを提供します。
これらのペイロードはアクターにリモートアクセス、永続的な暗号マイニング、および回復力のあるC2インフラストラクチャを通じた運用制御を維持しながら柔軟な更新機能を提供します。
暗号マイニングとCPA詐欺
REF1695は、2つの主な方法で侵害されたホストを現金化します:バックグラウンドモネロマイニングとコンテンツロッカー経由のCPA(Cost Per Action)詐欺です。
ローダーはまずPowerShellを-WindowStyle Hiddenを使用して呼び出し、Add-MpPreference -ExclusionPathおよびAdd-MpPreference -ExclusionProcessを通じて広いMicrosoft Defender除外を登録し、ローダーをカバーします。
PureRATとPureMinerはマイニングペイロードを取得するように設定されています。攻撃者が管理するドメインとGitHub ベースの生ファイルリンクから設定を取得し、暗号化されたC2プロトコルを使用して派生したAESおよびHMACキーでタスキングトラフィックを保護します。
同時に、偽の「登録」フローは被害者をCPAコンテンツロッカーページにリダイレクトし、アンケートを完成させるか、サインアップを完了させてからライセンスキーを「リリース」する前に、オペレーター用のアフィリエイト手数料を生成する必要があります。
この「低速かつ遅延」アプローチは、長期的な感染に焦点を当て、ホストあたりの収益を最大化しながら、迅速なクリーンアップをトリガーする可能性のある騒々しい、高インパクトな動作を回避します。
CNB Botは、この操作で文書化されている新しい.NETインプラントで、ローダー機能をC2ポーリングループと厳密に認証されたタスキングと組み合わせています。
そのタスク(ダウンロード実行、更新、アンインストール)はRSA-2048を使用して署名されているため、ディフェンダーがパネルをハイジャックしたとしても、秘密鍵なしで有効なコマンドを発行することはできません。
カスタムXMRigローダーは、約36ダースの分析・監視ツールを監視し、それらが表示されたときにマイナープロセスを即座に強制終了させることでエバージョンをさらに進めます。CPUの使用率は正常に戻ります。
また、WinRing0x64ドライバーをデプロイしてリング0アクセスを得て、CPUの動作を調整し、RandomX ハッシュレートを増加させ、Monero マイニング効率を改善します。
復号化されたアウトプットはGZip圧縮PE です:最初の4バイトは復号化されたサイズをリトルエンディアン整数としてエンコードし、その後にGZipストリームが続きます。
SilentCryptoMinerバリアントは、直接のシステムコール、スリープ/休止状態の無効化、explorer.exeおよびconhost.exeへのプロセスインジェクション、および削除されたモニターの復帰を保証するウォッチドッグロジックで、ステルスをさらに拡張します。
運用スケールとインフラストラクチャ
REF1695はペイロード配信CDNとしてGitHubに大きく依存し、削除前にフォレンジック可視性を低減するために、少なくとも2つのプロフィールの下でステージングされたバイナリをホストしています。
復号化されたC2タスクは、PureRATと関連するローダーがCNB Bot、カスタムXMRigローダー、PureMiner、AsyncRAT、Pulsar RAT、およびSilentCryptoMinerを生のGitHub URLから直接取得するよう指示されていることを示しています。各フィールド値は、ランダムIVを使用してAES-256-CBCで独立して暗号化されます。
マイナー設定に埋め込まれたウォレットアドレスにピボットし、公開Monero プール ダッシュボードをクエリすることで、Elasticは、アクターが4つのウォレット全体で27.88 XMR以上を受け取ったと推定し、複数のアクティブなワーカーはまだオンラインです。
最近のMonero価格では、これは大体9,400米ドルに相当し、どのように静かに悪用された消費者および小規模ビジネスシステムが延長期間にわたって安定した収入を生成できるかを強調しています。
数百の極度に難読化された.NETサンプル全体で分析をスケーリングするために、研究者はClaudeモデルによって駆動されるエージェントパイプラインを使用して、アンパッキングと設定抽出を自動化しました。
パイプラインはUnlicenseやNETReactorSlayerなどのツールを調整し、VirusTotal ピボットから感染チェーンを再帰的に追跡し、ペイロードと設定に関する構造化レポートを生成し、汎用メソッドが失敗した場合に「リサーチモード」にフォールバックして、カスタムメイド抽出スクリプトを合成しました。
ディフェンダーにとって、REF1695は、ISOベースの誘いをブロックし、署名なしのインストーラーの周りの実行ポリシーを締め、攻撃的なMicrosoft Defender除外悪用とWinRing0x64.sys展開の監視、およびPureRAT/PureMiner C2ドメインやCNB BotのHostDataスケジュールされたタスクアーティファクトなどの繰り返しインフラストラクチャマーカーをハントする必要性を強調しています。
翻訳元: https://gbhackers.com/fake-installers-spread-rats/
