文章总结： 研究人员发现代号REF1695的运营活动自2023年11月起利用ISO诱饵文件传播远控木马和挖矿程序。攻击通过虚假安装程序诱导用户绕过Defender防护，部署新型.NET植入程序CNBBot，并滥用签名驱动提升挖矿效率。威胁行为体通过CPA欺诈和加密货币挖矿获利，累计获取约9392美元，同时滥用GitHub作为分发CDN以降低检测概率。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,安全工具,渗透测试

【安全圈】研究人员发现利用 ISO 诱饵传播远控木马和挖矿程序的运营活动

安全圈

2026年4月3日 19:03 江苏

关键词

木马

代号REF1695的牟利运营自2023年11月起利用虚假安装程序部署远控木马（RAT）和加密货币挖矿程序。Elastic Security Labs研究人员本周分析指出，除挖矿外，威胁行为体还通过CPA欺诈获利，以软件注册为幌子诱导受害者访问内容锁定页面。

近期攻击迭代还投递了此前未记录的.NET植入程序CNB Bot。攻击利用ISO文件作为感染媒介，投递受.NET Reactor保护的加载器及文本文件，明确指示用户点击”更多信息”和”仍要运行”以绕过Microsoft Defender SmartScreen对未识别应用的防护。

该加载器调用PowerShell配置广泛的Microsoft Defender杀毒排除项以规避检测，并在后台启动CNB Bot。同时向用户显示错误信息：”无法启动应用。您的系统可能不符合所需规格。请联系支持。”

CNB Bot作为加载器，具备下载执行额外载荷、自我更新、卸载及清理痕迹的功能，通过HTTP POST请求与C2服务器通信。

威胁行为体的其他活动利用类似ISO诱饵部署PureRAT、PureMiner及定制.NET版XMRig加载器，后者连接硬编码URL提取挖矿配置并启动挖矿载荷。

与近期FAUX#ELEVATE活动类似，合法签名但存在漏洞的Windows内核驱动”WinRing0x64.sys”被滥用以获取内核级硬件访问权限，修改CPU设置提升算力。该功能于2019年12月加入XMRig挖矿程序。

Elastic还识别出另一场导致SilentCryptoMiner部署的活动。该挖矿程序除使用直接系统调用规避检测外，还禁用Windows睡眠和休眠模式，通过计划任务设置持久化，并使用”Winring0.sys”驱动微调CPU进行挖矿。

攻击另一关键组件为看门狗进程，确保恶意构件和持久化机制在被删除时恢复。据估计，该活动在四个追踪钱包中累计获取27.88 XMR（9392美元），表明运营为攻击者带来稳定财务回报。

“除C2基础设施外，威胁行为体滥用GitHub作为载荷分发CDN，在两个已识别账户中托管分阶段二进制文件，”Elastic表示，”该技术将下载执行步骤从运营者控制的基础设施转移至可信平台，降低检测阻力。”

END

阅读推荐

【安全圈】“王者荣耀崩了”上热搜，官方回应

【安全圈】智能手表引发的泄露事件，军事机密泄露

【安全圈】俄罗斯联邦关键基础设施集中控制计划泄露

【安全圈】Claude Code 源代码在 NPM 包中意外泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】研究人员发现利用 ISO 诱饵传播远控木马和挖矿程序的运营活动》