Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara XMRig krüptovarastamise kampaania

XMRig krüptovarastamise kampaania

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Ulatuslikud uurimised on paljastanud keeruka krüptokaapimise kampaania, mis kasutab piraattarkvara pakette süsteemide nakatamiseks kohandatud XMRig kaevuriga. Operatsioon tugineb suuresti sotsiaalsele manipuleerimisele, reklaamides tasuta premium-rakendusi, näiteks krakitud kontoritarkvara pakette, et meelitada kasutajaid troojalaste installiprogramme alla laadima.

Need pahatahtlikud käivitatavad failid on peamine sisenemispunkt. Pärast käivitamist käivitavad nad hoolikalt orkestreeritud nakatumisprotsessi, mille eesmärk on maksimeerida krüptovaluuta kaevandamise väljundit, sageli süsteemi stabiilsuse arvelt. Kampaania tuginemine petlikule levitamistaktikale rõhutab tarkvarapiraatluse jätkuvat tõhusust pahavara levituskanalina.

Modulaarne nakatamismootor mitme töörežiimiga

Rünnaku keskmes on multifunktsionaalne binaarfail, mis toimib nakkuse elutsükli juhtimiskeskusena. Toimides installija, valvekoera, koormuse halduri ja puhastusutiliidina, jälgib see komponent juurutamist, püsivust, jälgimist ja võimalikku enese eemaldamist.

Pahavara modulaarne ülesehitus eraldab jälgimisvõimalused põhilistest andmemahtudest, mis vastutavad kaevandamise, privileegide laiendamise ja püsivuse eest. Operatiivne paindlikkus saavutatakse spetsiifiliste käsureaargumentide abil, mis võimaldavad erinevaid täitmisrežiime:

Parameeter puudub : teostab keskkonna valideerimise ning tegeleb varajase installimise ja migreerimisega.

002 Re:0 : Eemaldab peamised kasulikud koormused, käivitab kaevuri ja siseneb jälgimistsüklisse.

016 : Taaskäivitab kaevuri, kui see on töö lõpetanud.

barusu : Käivitab enesehävitusjärjestuse, peatades pahavara komponendid ja eemaldades nendega seotud failid.

See struktureeritud režiimivahetuse lähenemisviis suurendab vastupidavust ja tagab jätkusuutliku kaevandustegevuse isegi kaitsemeetmete rakendamise korral.

Sisseehitatud loogikapomm ja ajastatud dekomisjoneerimine

Pahavara tähelepanuväärne omadus on loogikapommi kaasamine. Binaarfail hangib süsteemi kohaliku aja ja võrdleb seda kõvakodeeritud tähtajaga, mis on 23. detsember 2025.

  • Kui pahavara käivitatakse enne 23. detsembrit 2025, jätkub see püsiva installimise ja kaevandaja juurutamisega.
  • Kui see käivitatakse pärast seda kuupäeva, taaskäivitub see automaatselt parameetri 'barusu' abil, käivitades kontrollitud isedesisselülitamisprotsessi.

Eelnevalt määratletud tähtaeg viitab sellele, et kampaania pidi kuni selle kuupäevani pidevalt toimima. Tähtaeg võib vastata renditud juhtimis- ja kontrollinfrastruktuuri aegumisele, eeldatavatele krüptovaluutaturu muutustele või strateegilisele üleminekule uuele pahavara tüvele.

Privileegide eskaleerimine ja kaevandamise optimeerimine BYOVD kaudu

Standardse nakatamisrutiini käigus kirjutab binaarfail, mis toimib iseseisva andmekandjana, kõik vajalikud komponendid kettale. Nende hulgas on ka legitiimne Windows Telemetry teenuse käivitatav fail, mida kuritarvitatakse pahatahtliku kaevandaja DLL-i külglaadimiseks.

Samuti on kasutusele võetud püsivusmehhanismid koos turvatööriistade keelamiseks mõeldud komponentidega. Kõrgendatud täitmisõiguste tagamiseks kasutab pahavara oma haavatava draiveri omastamise (BYOVD) tehnikat, mis kasutab vigast draiverit „WinRing0x64.sys”. Seda draiverit mõjutab CVE-2020-14979, mis on haavatavus CVSS-skooriga 7,8, mis võimaldab õiguste eskaleerimist.

Selle ärakasutamise otse kohandatud XMRig kaevurisse integreerimisega saavutavad ründajad madala taseme kontrolli protsessori konfiguratsioonide üle. See optimeerimine suurendab RandomX kaevandamise jõudlust umbes 15–50%, parandades oluliselt kasumlikkust.

Ussilaadne levimine ja külgmine liikumine

Erinevalt traditsioonilistest troojalastest, mis sõltuvad ainult kasutaja esialgsest tegevusest, sisaldab see XMRig variant agressiivseid levimisfunktsioone. See levib aktiivselt eemaldatavate salvestusseadmete kaudu, võimaldades süsteemide vahelist liikumist, sealhulgas õhupiludega keskkondades asuvates süsteemides.

See ussilaadne võime muudab pahavara ise levivaks ohuks, laiendades oluliselt selle ulatust organisatsioonilistes võrgustikes ja suurendades botneti ulatust.

Tegevuse ajakava ja strateegilised tagajärjed

Kohtuekspertiisi tõendid viitavad vahelduvale kaevandamistegevusele kogu 2025. aasta novembri vältel, millele järgnes märgatav tõus alates 8. detsembrist 2025. See muster viitab etapiviisilisele juurutamisele või aktiveerimisstrateegiatele, mille eesmärk on vältida varajast avastamist.

Kampaania rõhutab laia pahavara pidevat arengut. Kombineerides sotsiaalset manipuleerimist, seaduslikku tarkvara jäljendamist, ussilaadset levitamist ja kerneli tasemel ärakasutamist, on ohutegijad loonud vastupidava ja suure jõudlusega krüptokaaperdamise botneti, mis on võimeline krüptovaluuta jätkusuutlikuks ja optimeeritud kaevandamiseks.

Trendikas

American Express – kontole juurdepääsu värskenduse...

Andmepüük, Rämpspost
Tänapäeva digitaalses keskkonnas on ootamatute meilidega tegelemisel valvsus oluline. Küberkurjategijad esinevad sageli usaldusväärsete kaubamärkidena, et petta saajaid tundlikku teavet avaldama. Nn American Expressi kontole juurdepääsu värskenduse vajava meilipettuse kampaania on üks selline andmepüügikampaania. Need meilid ei ole seotud ühegi seadusliku ettevõtte, organisatsiooni ega...

Enim vaadatud

Laadimine...