XMRig क्रिप्टोजैकिंग अभियान

विस्तृत जांच से एक परिष्कृत क्रिप्टोजैकिंग अभियान का पर्दाफाश हुआ है जो सिस्टम को अनुकूलित XMRig माइनर से संक्रमित करने के लिए पायरेटेड सॉफ्टवेयर बंडलों का उपयोग करता है। यह ऑपरेशन सोशल इंजीनियरिंग पर बहुत अधिक निर्भर करता है, जिसमें क्रैक किए गए ऑफिस प्रोडक्टिविटी सूट जैसे मुफ्त प्रीमियम एप्लिकेशन का विज्ञापन करके उपयोगकर्ताओं को ट्रोजन युक्त इंस्टॉलर डाउनलोड करने के लिए लुभाया जाता है।

ये दुर्भावनापूर्ण निष्पादन योग्य फाइलें प्राथमिक प्रवेश बिंदु के रूप में कार्य करती हैं। एक बार निष्पादित होने पर, ये एक सुनियोजित संक्रमण प्रक्रिया शुरू करती हैं जिसका उद्देश्य क्रिप्टोकरेंसी माइनिंग से अधिकतम लाभ प्राप्त करना होता है, अक्सर सिस्टम की स्थिरता की कीमत पर। इस अभियान में धोखेपूर्ण वितरण युक्तियों का उपयोग मैलवेयर पहुंचाने के एक माध्यम के रूप में सॉफ्टवेयर पायरेसी की निरंतर प्रभावशीलता को उजागर करता है।

एक मॉड्यूलर संक्रमण इंजन जिसमें कई परिचालन मोड हैं

इस हमले के मूल में एक बहुआयामी बाइनरी है जो संक्रमण जीवनचक्र के कमांड सेंटर के रूप में कार्य करती है। इंस्टॉलर, वॉचडॉग, पेलोड मैनेजर और क्लीनअप यूटिलिटी के रूप में कार्य करते हुए, यह घटक परिनियोजन, निरंतरता, निगरानी और संभावित स्व-निष्कासन की देखरेख करता है।

मालवेयर का मॉड्यूलर डिज़ाइन मॉनिटरिंग क्षमताओं को माइनिंग, विशेषाधिकार वृद्धि और निरंतरता के लिए जिम्मेदार मुख्य पेलोड से अलग करता है। विशिष्ट कमांड-लाइन आर्गुमेंट्स के माध्यम से परिचालन लचीलापन प्राप्त किया जाता है जो अलग-अलग निष्पादन मोड को सक्षम बनाते हैं:

कोई पैरामीटर नहीं : पर्यावरण सत्यापन करता है और प्रारंभिक चरण की स्थापना और माइग्रेशन को संभालता है।

002 Re:0 : प्राथमिक पेलोड गिराता है, माइनर लॉन्च करता है, और एक निगरानी लूप में प्रवेश करता है।

016 : यदि माइनर बंद हो जाता है तो उसे पुनः आरंभ करता है।

barusu : यह एक स्व-विनाश प्रक्रिया शुरू करता है, मैलवेयर घटकों को समाप्त करता है और संबंधित फ़ाइलों को हटाता है।

यह संरचित मोड-स्विचिंग दृष्टिकोण लचीलेपन को बढ़ाता है और रक्षात्मक कार्रवाई किए जाने पर भी निरंतर खनन गतिविधि सुनिश्चित करता है।

अंतर्निहित लॉजिक बम और समयबद्ध निष्क्रियकरण

इस मैलवेयर की एक उल्लेखनीय विशेषता इसमें मौजूद लॉजिक बॉम्ब है। यह बाइनरी सिस्टम का स्थानीय समय प्राप्त करता है और इसकी तुलना 23 दिसंबर, 2025 की हार्डकोडेड समय सीमा से करता है।

• यदि इसे 23 दिसंबर, 2025 से पहले निष्पादित किया जाता है, तो मैलवेयर स्थायी स्थापना और माइनर परिनियोजन के साथ आगे बढ़ता है।
• यदि इसे इस तिथि के बाद निष्पादित किया जाता है, तो यह 'बारूसु' पैरामीटर का उपयोग करके स्वचालित रूप से स्वयं को पुनः प्रारंभ कर देता है, जिससे एक नियंत्रित स्व-निष्क्रियकरण प्रक्रिया शुरू हो जाती है।

पूर्वनिर्धारित समय सीमा से संकेत मिलता है कि अभियान उस तिथि तक लगातार चलने के लिए बनाया गया था। यह समय सीमा किराए पर लिए गए कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर की समाप्ति, क्रिप्टोकरेंसी बाजार में अपेक्षित बदलावों, या किसी नए मैलवेयर स्ट्रेन में रणनीतिक परिवर्तन से संबंधित हो सकती है।

BYOVD के माध्यम से विशेषाधिकार वृद्धि और खनन अनुकूलन

सामान्य संक्रमण प्रक्रिया के दौरान, बाइनरी, एक स्व-निहित वाहक के रूप में कार्य करते हुए, सभी आवश्यक घटकों को डिस्क पर लिखता है। इनमें एक वैध विंडोज टेलीमेट्री सेवा निष्पादन योग्य फ़ाइल भी शामिल है, जिसका दुरुपयोग दुर्भावनापूर्ण माइनर DLL को साइडलोड करने के लिए किया जाता है।

सुरक्षा उपकरणों को निष्क्रिय करने के लिए डिज़ाइन किए गए घटकों के साथ-साथ निरंतरता तंत्र भी तैनात किए गए हैं। उच्च निष्पादन विशेषाधिकार सुनिश्चित करने के लिए, मैलवेयर दोषपूर्ण ड्राइवर 'WinRing0x64.sys' का उपयोग करके ब्रिंग-योर-ओन-वल्नरेबल-ड्राइवर (BYOVD) तकनीक का प्रयोग करता है। यह ड्राइवर CVE-2020-14979 से प्रभावित है, जो 7.8 के CVSS स्कोर वाली एक भेद्यता है और विशेषाधिकार वृद्धि की अनुमति देती है।

इस खामी को अनुकूलित XMRig माइनर में सीधे एकीकृत करके, हमलावर CPU कॉन्फ़िगरेशन पर निम्न-स्तरीय नियंत्रण प्राप्त कर लेते हैं। यह अनुकूलन RandomX माइनिंग के प्रदर्शन को लगभग 15% से 50% तक बढ़ा देता है, जिससे लाभप्रदता में उल्लेखनीय सुधार होता है।

कृमि-समान प्रसार और पार्श्व गति

परंपरागत ट्रोजन के विपरीत, जो केवल प्रारंभिक उपयोगकर्ता निष्पादन पर निर्भर करते हैं, XMRig का यह संस्करण आक्रामक प्रसार सुविधाओं से युक्त है। यह रिमूवेबल स्टोरेज डिवाइस के माध्यम से सक्रिय रूप से फैलता है, जिससे एयर-गैप्ड वातावरण सहित विभिन्न सिस्टमों में पार्श्व गति संभव हो पाती है।

यह वर्म जैसी क्षमता मैलवेयर को एक स्व-प्रसारित खतरे में बदल देती है, जिससे संगठनात्मक नेटवर्क के भीतर इसकी पहुंच काफी बढ़ जाती है और बॉटनेट का पैमाना भी बढ़ जाता है।

परिचालन समयरेखा और रणनीतिक निहितार्थ

फोरेंसिक साक्ष्य नवंबर 2025 के दौरान रुक-रुक कर खनन गतिविधि का संकेत देते हैं, जिसके बाद 8 दिसंबर, 2025 से इसमें उल्लेखनीय वृद्धि हुई। यह पैटर्न चरणबद्ध तैनाती या सक्रियण रणनीतियों का सुझाव देता है जिनका उद्देश्य प्रारंभिक पहचान से बचना है।

यह अभियान कमोडिटी मैलवेयर के निरंतर विकास को रेखांकित करता है। सोशल इंजीनियरिंग, वैध सॉफ़्टवेयर प्रतिरूपण, वर्म-शैली प्रसार और कर्नेल-स्तर के शोषण को मिलाकर, हमलावरों ने एक टिकाऊ और उच्च-प्रदर्शन वाला क्रिप्टोजैकिंग बॉटनेट तैयार किया है जो निरंतर और अनुकूलित क्रिप्टोकरेंसी माइनिंग करने में सक्षम है।