حملة اختراق XMRig لتعدين العملات المشفرة

كشفت تحقيقات موسعة عن حملة تعدين عملات رقمية متطورة تستغل حزم البرامج المقرصنة لإصابة الأنظمة ببرنامج تعدين XMRig مُعدّل. وتعتمد هذه العملية بشكل كبير على الهندسة الاجتماعية، حيث تُعلن عن تطبيقات مدفوعة مجانية، مثل حزم برامج الإنتاجية المكتبية المقرصنة، لإغراء المستخدمين بتحميل برامج تثبيت مُخترقة.

تُشكّل هذه الملفات التنفيذية الخبيثة نقطة الدخول الرئيسية. وبمجرد تشغيلها، تبدأ عملية إصابة مُحكمة التنظيم تهدف إلى زيادة إنتاج تعدين العملات المشفرة إلى أقصى حد، وغالبًا ما يكون ذلك على حساب استقرار النظام. ويُبرز اعتماد هذه الحملة على أساليب التوزيع الخادعة استمرار فعالية قرصنة البرامج كقناة لنشر البرمجيات الخبيثة.

محرك عدوى معياري ذو أوضاع تشغيل متعددة

يكمن جوهر الهجوم في ملف تنفيذي متعدد الوظائف يعمل كمركز تحكم لدورة حياة الإصابة. يعمل هذا المكون كأداة تثبيت، ومراقبة، وإدارة للحمولة، وأداة تنظيف، ويشرف على النشر، والاستمرار، والمراقبة، والإزالة الذاتية المحتملة.

يفصل التصميم المعياري للبرمجية الخبيثة قدرات المراقبة عن الحمولات الأساسية المسؤولة عن استخراج البيانات، ورفع مستوى الامتيازات، والاستمرارية. وتتحقق المرونة التشغيلية من خلال وسائط سطر أوامر محددة تُمكّن من أوضاع تنفيذ متميزة.

لا توجد معلمات : يقوم بالتحقق من صحة البيئة ويتعامل مع التثبيت والترحيل في المراحل المبكرة.

002 Re:0 : يقوم بإسقاط الحمولات الأساسية، وتشغيل برنامج التعدين، والدخول في حلقة مراقبة.

016 : يعيد تشغيل برنامج التعدين إذا تم إنهاؤه.

barusu : يبدأ تسلسل التدمير الذاتي، مما يؤدي إلى إنهاء مكونات البرامج الضارة وإزالة الملفات المرتبطة بها.

يعزز هذا النهج المنظم لتبديل الأوضاع المرونة ويضمن استمرار نشاط التعدين حتى عند اتخاذ إجراءات دفاعية.

القنبلة المنطقية المدمجة والتفكيك الموقوت

من أبرز خصائص هذه البرمجية الخبيثة تضمينها لقنبلة منطقية. يقوم الملف التنفيذي باسترجاع التوقيت المحلي للنظام ومقارنته بموعد نهائي مُبرمج مسبقاً وهو 23 ديسمبر 2025.

• إذا تم تنفيذه قبل 23 ديسمبر 2025، فإن البرامج الضارة تستمر في تثبيت البرامج الثابتة ونشر برامج التعدين.
• إذا تم تنفيذه بعد هذا التاريخ، فإنه يعيد تشغيل نفسه تلقائيًا باستخدام المعلمة 'barusu'، مما يؤدي إلى عملية إيقاف التشغيل الذاتي الخاضعة للتحكم.

يشير الموعد النهائي المحدد مسبقًا إلى أن الحملة كانت تهدف إلى العمل بشكل مستمر حتى ذلك التاريخ. وقد يتزامن هذا الموعد مع انتهاء صلاحية البنية التحتية المستأجرة للتحكم والسيطرة، أو التغيرات المتوقعة في سوق العملات المشفرة، أو الانتقال الاستراتيجي إلى سلالة برمجيات خبيثة أحدث.

تصعيد الامتيازات وتحسين التعدين عبر BYOVD

أثناء عملية الإصابة المعتادة، يقوم الملف التنفيذي، الذي يعمل كناقل مستقل، بكتابة جميع المكونات الضرورية على القرص. ومن بين هذه المكونات ملف تنفيذي شرعي لخدمة قياس بيانات ويندوز، والذي يُستغل لتحميل مكتبة DLL الخاصة ببرنامج التعدين الخبيث.

تُستخدم آليات استمرارية، بالإضافة إلى مكونات مصممة لتعطيل أدوات الأمان. ولضمان صلاحيات تنفيذ موسعة، يستخدم البرنامج الخبيث تقنية "إحضار برنامج تشغيل مُعرَّض للثغرات" (BYOVD) باستخدام برنامج التشغيل المعيب "WinRing0x64.sys". هذا البرنامج مُعرَّض للثغرة CVE-2020-14979، وهي ثغرة أمنية بدرجة خطورة 7.8 وفقًا لمعيار CVSS، وتسمح بتصعيد الصلاحيات.

من خلال دمج هذه الثغرة مباشرةً في برنامج التعدين XMRig المُخصّص، يحصل المهاجمون على تحكم دقيق في إعدادات وحدة المعالجة المركزية. يُحسّن هذا التحسين أداء تعدين RandomX بنسبة تتراوح بين 15% و50% تقريبًا، مما يُحسّن الربحية بشكل ملحوظ.

التكاثر الشبيه بالديدان والحركة الجانبية

على عكس برامج التجسس التقليدية التي تعتمد فقط على تشغيل المستخدم الأولي، يتميز هذا النوع من XMRig بخصائص انتشار متقدمة. فهو ينتشر بنشاط عبر أجهزة التخزين القابلة للإزالة، مما يتيح له الانتقال الجانبي عبر الأنظمة، بما في ذلك تلك الموجودة في بيئات معزولة عن الشبكة.

هذه القدرة الشبيهة بالديدان تحول البرامج الضارة إلى تهديد ذاتي الانتشار، مما يوسع نطاق وصولها بشكل كبير داخل الشبكات التنظيمية ويزيد من حجم شبكة الروبوتات.

الجدول الزمني للعمليات والآثار الاستراتيجية

تشير الأدلة الجنائية إلى نشاط تعدين متقطع طوال شهر نوفمبر 2025، يليه ارتفاع ملحوظ بدءًا من 8 ديسمبر 2025. يشير هذا النمط إلى استراتيجيات نشر أو تفعيل مرحلية تهدف إلى تجنب الكشف المبكر.

تُبرز هذه الحملة التطور المستمر للبرمجيات الخبيثة التجارية. فمن خلال الجمع بين الهندسة الاجتماعية، وانتحال البرامج المشروعة، وانتشارها على غرار الديدان، واستغلالها على مستوى النواة، تمكن المهاجمون من تصميم شبكة بوتات قوية وعالية الأداء لتعدين العملات المشفرة، قادرة على التعدين المستدام والمُحسَّن للعملات المشفرة.