Der Loader ruft nach Angaben von Elastic PowerShell auf, um weitreichende Ausnahmen im Microsoft Defender Antivirus einzurichten und so unentdeckt zu bleiben. Anschließend startet er CNB Bot im Hintergrund, während dem Nutzer eine Fehlermeldung angezeigt wird: “Die Anwendung konnte nicht gestartet werden. Ihr System erfüllt möglicherweise nicht die erforderlichen Spezifikationen. Bitte wenden Sie sich an den Support.”
CNB Bot arbeitet selbst als Loader. Er kann weitere Schadprogramme herunterladen und ausführen, sich selbst aktualisieren sowie sich deinstallieren und Spuren beseitigen. Die Kommunikation mit dem Command-and-Control-Server (C2) läuft über HTTP-POST-Anfragen.
Weitere Kampagnen desselben Angreifers nutzten laut Elastic vergleichbare ISO-Köder, um PureRAT, PureMiner und einen eigens entwickelten .NET-basierten XMRig-Loader zu verteilen. Letzterer ruft eine fest einprogrammierte URL ab, um daraus die Mining-Konfiguration zu beziehen und die Miner-Payload zu starten.
Wie bereits in der FAUX#ELEVATE-Kampagne beobachtet, missbrauchen die Angreifer den legitimen, signierten und verwundbaren Windows-Kerneltreiber “WinRing0x64.sys”. Über ihn verschaffen sie sich Hardwarezugriff auf Kernel-Ebene und verändern CPU-Einstellungen, um die Hashrate und damit die Leistung zu steigern. Der Treiber kommt seit Jahren in zahlreichen Cryptojacking-Kampagnen zum Einsatz; die entsprechende Funktion wurde im Dezember 2019 in XMRig-Miner integriert.
Darüber hinaus identifizierte Elastic eine weitere Kampagne, die zur Verbreitung von SilentCryptoMiner führt. Dieser Miner setzt direkte Systemaufrufe ein, um der Erkennung zu entgehen, deaktiviert die Energiesparmodi Ruhezustand und Standby von Windows, verankert sich über eine geplante Aufgabe im System und nutzt ebenfalls den Treiber “Winring0.sys”, um die CPU für das Mining zu optimieren.
Ein weiterer Bestandteil der Angriffe ist ein Watchdog-Prozess, der die schädlichen Komponenten und Persistenzmechanismen wiederherstellt, falls sie gelöscht werden. Nach Schätzung von Elastic hat die Kampagne über vier nachverfolgte Wallets 27,88 XMR (9.392 US-Dollar) eingebracht, was auf stetige Einnahmen für den Angreifer hindeutet.
Neben der eigenen C2-Infrastruktur missbraucht der Angreifer laut Elastic auch GitHub als Auslieferungsnetzwerk (CDN) für seine Payloads und legt die zwischengeschalteten Binärdateien in zwei identifizierten Konten ab. “Diese Technik verlagert den Schritt des Herunterladens und Ausführens weg von der durch den Betreiber kontrollierten Infrastruktur hin zu einer vertrauenswürdigen Plattform und verringert so die Wahrscheinlichkeit einer Entdeckung”, erklärten die Forscher.
