微软警告3年未修的老漏洞，黑客用它每月白嫖9000美元

2023年11月起，一个代号为REF1695的黑客组织开始批量投放伪造软件安装包。他们没选什么高端攻击链，而是盯上了用户最熟悉的操作场景——下载软件。

Elastic Security Labs本周发布的分析显示，该组织的技术栈并不复杂，但组合方式相当老练。核心思路是：让用户亲手关掉系统的防护开关。

ISO文件里的"用户教育"

攻击者将恶意负载打包成ISO镜像文件。用户挂载后，会看到一份文本文件，上面用清晰的步骤教你怎么操作：点击"更多信息"，然后选择"仍要运行"。

这套话术针对的是微软Defender SmartScreen的拦截提示。系统明明在阻止可疑程序，用户却被引导着绕过它。

「除了加密货币挖矿，该威胁行为者还通过CPA（按行动付费）欺诈实现感染变现，将受害者引导至内容锁定页面，伪装成软件注册流程，」Elastic研究员Jia Yu Chan、Cyril François和Remco Sprooten在报告中写道。

负载执行后，PowerShell脚本会先配置大量微软Defender杀毒软件排除项，确保后续操作不被扫描。同时弹出一个伪造错误窗口："无法启动应用程序。您的系统可能不满足所需规格。请联系支持。"

CNB Bot：一个被低估的加载器

近期迭代中，攻击者部署了一个此前未记录的.NET植入程序，命名为CNB Bot。它作为加载器运行，具备下载执行额外负载、自我更新、卸载清理等功能。

通信采用HTTP POST请求与C2服务器交互。设计思路很务实：不求复杂，只求稳定可控。

同一组织还被发现用类似ISO诱饵部署PureRAT、PureMiner，以及一个定制的基于.NET的XMRig加载器。后者会访问硬编码URL提取挖矿配置并启动矿工负载。

WinRing0：一个用了5年的老熟人

攻击链中最值得关注的是对"WinRing0x64.sys"的滥用。这是一个合法签名但存在漏洞的Windows内核驱动程序，被用来获取内核级硬件访问权限，修改CPU设置以提升哈希率。

该驱动的功能早在2019年12月就被加入XMRig矿工。此后数年，无数加密货币劫持 campaign 反复使用它。微软并非没有修复方案，但驱动程序的合法签名身份让它始终处于灰色地带。

Elastic还识别了另一场导向SilentCryptoMiner部署的 campaign。该矿工除使用直接系统调用规避检测外，还会禁用Windows睡眠和休眠模式，通过计划任务建立持久化，同样调用WinRing0驱动微调CPU。

一个看门狗进程确保恶意工件和持久化机制在被删除后自动恢复。这种设计让手动清理变得困难。

收益账本：27.88 XMR

追踪四个钱包地址后，Elastic估算该 campaign 已累计挖取27.88门罗币，按当前价格约9,392美元。数字不算惊人，但胜在持续稳定。

考虑到攻击成本——主要是伪造安装包的投放和基础设施维护——这几乎是无风险套利。受害者支付的电费、消耗的硬件寿命、被拖慢的生产效率，都不会出现在黑客的资产负债表上。

REF1695的运作方式揭示了一种被低估的威胁模型：不追求0day的炫技，而是把已知的用户行为漏洞和系统缺陷串成链条。每个环节都足够简单，组合起来却足够有效。

当安全产品不断堆叠检测层时，攻击者选择了一条更短的路径——直接走到用户面前，递上一张写着"请关闭防护"的说明书。而用户照做了。