Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Operacja REF1695 to długotrwała kampania cyberprzestępcza nastawiona na monetyzację zainfekowanych systemów poprzez zdalny dostęp, oszustwa afiliacyjne oraz nieautoryzowane kopanie kryptowalut. Atakujący wykorzystują fałszywe instalatory dostarczane w obrazach ISO, łącząc socjotechnikę z wieloetapowym łańcuchem infekcji oraz zestawem narzędzi obejmujących trojany zdalnego dostępu, niestandardowe loadery i koparki Monero.
W skrócie
Kampania REF1695 jest aktywna co najmniej od końca 2023 roku i ma wyraźnie finansowy charakter. Ofiary są nakłaniane do uruchamiania spreparowanych instalatorów oraz ręcznego obchodzenia ostrzeżeń SmartScreen, po czym malware uruchamia polecenia PowerShell, osłabia ochronę Microsoft Defender, wdraża kolejne moduły i instaluje komponenty takie jak CNB Bot, PureRAT, PureMiner oraz niestandardowe loadery XMRig.
- Wektor wejścia: obrazy ISO z fałszywymi instalatorami
- Główne cele: cryptojacking, zdalny dostęp i dodatkowa monetyzacja afiliacyjna
- Techniki: PowerShell, persystencja przez harmonogram zadań, wykluczenia w Defenderze, BYOVD
- Payloady: CNB Bot, PureRAT, PureMiner, XMRig, SilentCryptoMiner
Kontekst / historia
Analiza kampanii wskazuje, że operacja rozwijała się etapami i z czasem stawała się bardziej złożona. Wczesne warianty koncentrowały się na dostarczaniu koparek oraz komponentów RAT za pomocą fałszywych instalatorów, jednak później zestaw narzędzi rozszerzono o nowe implanty, w tym loader .NET nazwany CNB Bot.
Stałymi elementami operacji pozostają podobne techniki pakowania, zbieżna infrastruktura C2 oraz konsekwentnie stosowany schemat podszywania się pod legalne oprogramowanie. Istotnym aspektem tej kampanii jest także model hybrydowej monetyzacji: poza cryptojackingiem operatorzy kierują ofiary na strony typu content locker pod pretekstem rejestracji oprogramowania, generując przychody w modelu CPA.
Analiza techniczna
Punktem wejścia do infekcji jest obraz ISO zawierający loader oraz plik tekstowy z instrukcjami, jak uruchomić niepodpisaną aplikację mimo ostrzeżeń systemowych. Taki mechanizm zwiększa skuteczność infekcji, ponieważ część działań wykonuje sam użytkownik, ufając spreparowanym komunikatom.
Po uruchomieniu loadera wykonywany jest ukryty PowerShell. Jednym z pierwszych kroków jest dodanie szerokich wykluczeń w Microsoft Defender dla katalogów tymczasowych, ścieżek użytkownika i wybranych procesów. Następnie malware zapisuje kolejne komponenty, uruchamia dalsze etapy infekcji i wyświetla fałszywy komunikat o błędzie, aby zmniejszyć podejrzenia ofiary.
Kluczową rolę odgrywa CNB Bot, czyli loader .NET zdolny do pobierania kolejnych ładunków, aktualizacji modułów i wykonywania procedur czyszczenia śladów. Komunikacja z serwerem C2 odbywa się przez HTTP POST, co daje operatorom możliwość elastycznego sterowania zachowaniem zainfekowanego hosta.
W innych wariantach wdrażane są PureRAT i PureMiner. Łańcuch infekcji może obejmować kilka etapów loaderów, mechanizmy persystencji oparte na zadaniach harmonogramu oraz automatyczne usuwanie instalatora po zakończeniu wdrożenia. PureRAT wykorzystuje zaszyfrowane konfiguracje i chroni komunikację z serwerami sterującymi przy użyciu HMAC oraz AES, co utrudnia analizę ruchu.
Szczególnie istotny jest niestandardowy loader dla XMRig. Pobiera on zdalną konfigurację kopania, a w razie problemów korzysta z zapasowych ustawień osadzonych w kodzie. Komponent wypakowuje także sterownik WinRing0x64.sys, po czym uruchamia pętlę unikania analizy: wykrywa narzędzia diagnostyczne i bezpieczeństwa, zatrzymuje koparkę podczas obserwacji, a następnie ponownie ją uruchamia, gdy ryzyko wykrycia maleje.
Warianty powiązane z SilentCryptoMiner dodają kolejne mechanizmy utrzymania dostępu, modyfikują ustawienia zasilania w celu wyłączenia uśpienia i hibernacji oraz wykorzystują watchdog do odtwarzania usuniętych artefaktów. To zwiększa stabilność działania malware i maksymalizuje czas pracy koparki.
Konsekwencje / ryzyko
Z punktu widzenia organizacji REF1695 stanowi zagrożenie wielowarstwowe. Najbardziej widocznym skutkiem infekcji jest nieautoryzowane wykorzystanie zasobów obliczeniowych do kopania kryptowalut, co przekłada się na wzrost użycia CPU, wyższe zużycie energii i szybsze zużycie sprzętu.
Znacznie poważniejsze jest jednak wdrożenie komponentów typu RAT. Obecność zdalnego dostępu oznacza możliwość dalszej penetracji środowiska, pobierania dodatkowego malware, utrzymania trwałej obecności oraz potencjalnej kradzieży danych. Dodatkowym zagrożeniem jest manipulowanie konfiguracją Microsoft Defender, ponieważ szerokie wykluczenia mogą osłabić ochronę systemu nawet po częściowym usunięciu infekcji.
Wykorzystanie podpisanego, lecz podatnego sterownika wpisuje się w model BYOVD, w którym legalny komponent staje się narzędziem obejścia zabezpieczeń i uzyskania niskopoziomowego dostępu do systemu. Z kolei hostowanie payloadów na publicznych platformach utrudnia filtrowanie ruchu wyłącznie na podstawie reputacji domen.
Rekomendacje
Organizacje powinny ograniczyć możliwość uruchamiania niezweryfikowanych plików z obrazów ISO oraz monitorować zdarzenia związane z montowaniem takich nośników przez użytkowników. Szczególnie ważne jest wykrywanie prób uruchamiania plików wykonywalnych z katalogów tymczasowych i profili użytkowników.
Należy wdrożyć monitoring poleceń PowerShell modyfikujących ustawienia Microsoft Defender, zwłaszcza operacji dodawania wykluczeń. Warto także regularnie audytować istniejące wykluczenia i porównywać je z polityką bazową, aby szybko wykrywać nieautoryzowane zmiany.
- monitorowanie tworzenia zadań harmonogramu uruchamianych przy logowaniu
- wykrywanie nietypowych zmian ustawień zasilania, w tym użycia powercfg
- kontrola obecności sterowników takich jak WinRing0x64.sys lub Winring0.sys
- ograniczanie uruchamiania PowerShell i LOLBins w kontekstach użytkownika
- wdrożenie EDR z telemetrią procesów potomnych, persystencji i aktywności sterowników
- analiza ruchu HTTP/HTTPS pod kątem nietypowych pobrań binariów z usług publicznych
- szkolenie użytkowników w zakresie rozpoznawania fałszywych instalatorów i prób obejścia SmartScreen
- przygotowanie procedur IR obejmujących przywracanie polityk Defendera oraz pełną kontrolę persystencji po incydencie
Podsumowanie
REF1695 to przykład dojrzałej, finansowo motywowanej operacji, która skutecznie łączy socjotechnikę, wieloetapowe loadery, techniki unikania analizy i mechanizmy zwiększania wydajności cryptojackingu. Kampania jest szczególnie niebezpieczna, ponieważ nie ogranicza się do kopania kryptowalut, ale obejmuje również zdalny dostęp i dodatkowe kanały monetyzacji.
Dla zespołów bezpieczeństwa kluczowe znaczenie ma wykrywanie modyfikacji Defendera, monitorowanie uruchomień z obrazów ISO, analiza persystencji oraz kontrola użycia podatnych sterowników. Skuteczna obrona wymaga połączenia telemetrii endpointów, restrykcyjnych polityk uruchamiania i świadomego zarządzania zaufaniem do pozornie legalnych plików i usług.
Źródła
- Researchers Uncover Mining Operation Using ISO Lures to Spread RATs and Crypto Miners — https://thehackernews.com/2026/04/researchers-uncover-mining-operation.html
- Fake Installers to Monero: A Multi-Tool Mining Operation — https://www.elastic.co/security-labs/fake-installers-to-monero