„XMRig“ kriptovaliutų vagystės kampanija
Išsamūs tyrimai atskleidė sudėtingą kriptovaliutų vagystės kampaniją, kurios metu piratinės programinės įrangos paketai naudojami sistemoms užkrėsti pritaikytu „XMRig“ kasimo įrankiu. Ši operacija labai priklauso nuo socialinės inžinerijos, reklamuojant nemokamas mokamas programas, tokias kaip nulaužti biuro produktyvumo paketai, siekiant paskatinti vartotojus atsisiųsti trojanų užkrėstus diegimo failus.
Šie kenkėjiški vykdomieji failai yra pagrindinis patekimo taškas. Kai jie vykdomi, jie inicijuoja kruopščiai suplanuotą užkrėtimo procesą, skirtą maksimaliai padidinti kriptovaliutų kasimo našumą, dažnai sistemos stabilumo sąskaita. Kampanijos pasikliovimas apgaulinga platinimo taktika rodo, kad programinės įrangos piratavimas, kaip kenkėjiškų programų platinimo kanalas, ir toliau yra veiksmingas.
Turinys
Modulinis infekcijos variklis su keliais veikimo režimais
Atakos centre slypi daugiafunkcis dvejetainis failas, kuris veikia kaip infekcijos gyvavimo ciklo komandų centras. Šis komponentas, veikdamas kaip diegimo, stebėjimo, apkrovos tvarkymo ir valymo programa, prižiūri diegimą, išlaikymą, stebėjimą ir galimą savaiminį pašalinimą.
Kenkėjiškos programos modulinė konstrukcija atskiria stebėjimo galimybes nuo pagrindinių apkrovų, atsakingų už duomenų kasimą, privilegijų eskalavimą ir duomenų išsaugojimą. Veikimo lankstumas pasiekiamas naudojant specialius komandinės eilutės argumentus, kurie įgalina skirtingus vykdymo režimus:
Be parametro : atlieka aplinkos patikrinimą ir tvarko ankstyvojo etapo diegimą bei perkėlimą.
002 Re:0 : Pašalina pagrindinius naudinguosius duomenis, paleidžia kasimo programą ir pereina į stebėjimo ciklą.
016 : Paleidžia kasimo programą iš naujo, jei ji buvo nutraukta.
barusu : Inicijuoja savęs naikinimo seką, nutraukia kenkėjiškų programų komponentus ir pašalina susijusius failus.
Šis struktūrizuotas režimų perjungimo metodas padidina atsparumą ir užtikrina nuolatinę kasybos veiklą net ir imantis gynybinių veiksmų.
Įterptoji loginė bomba ir laikinas išmontavimas
Svarbus kenkėjiškos programos bruožas yra loginės bombos įtraukimas. Dvejetainis failas nuskaito sistemos vietinį laiką ir palygina jį su užkoduotu terminu – 2025 m. gruodžio 23 d.
- Jei kenkėjiška programa bus įvykdyta iki 2025 m. gruodžio 23 d., bus tęsiamas jos nuolatinis diegimas ir kasimo programų diegimas.
- Jei vykdomas po šios datos, jis automatiškai paleidžiamas iš naujo naudojant „barusu“ parametrą, suaktyvindamas kontroliuojamą savaiminio išjungimo procesą.
Iš anksto nustatyta riba rodo, kad kampanija turėjo būti vykdoma nepertraukiamai iki tos datos. Galutinis terminas gali sutapti su nuomojamos valdymo ir kontrolės infrastruktūros galiojimo pabaiga, numatomais kriptovaliutų rinkos pokyčiais arba strateginiu perėjimu prie naujos kenkėjiškos programos atmainos.
Privilegijų eskalavimas ir kasybos optimizavimas naudojant BYOVD
Standartinės užkrėtimo procedūros metu dvejetainis failas, veikiantis kaip savarankiškas nešiklis, įrašo visus reikalingus komponentus į diską. Tarp jų yra teisėtas „Windows Telemetry“ paslaugos vykdomasis failas, kuris yra piktnaudžiaujamas kenkėjiškos kasybos DLL įkėlimui.
Taip pat diegiami atkaklumo mechanizmai ir komponentai, skirti išjungti saugos įrankius. Siekdama užtikrinti didesnes vykdymo teises, kenkėjiška programa naudoja „bring-your-own-vulnerable-driver“ (BYOVD) techniką, naudodama ydingą tvarkyklę „WinRing0x64.sys“. Šią tvarkyklę paveikė CVE-2020-14979 – pažeidžiamumas, kurio CVSS įvertinimas yra 7,8 ir kuris leidžia didinti privilegijas.
Integruodami šį pažeidžiamumą tiesiai į pritaikytą „XMRig“ kasimo programą, užpuolikai įgyja žemo lygio procesoriaus konfigūracijų kontrolę. Ši optimizacija padidina „RandomX“ kasimo našumą maždaug 15–50 %, o tai žymiai pagerina pelningumą.
Kirminų pavidalo dauginimasis ir šoninis judėjimas
Skirtingai nuo tradicinių Trojos arklių, kurie visiškai priklauso nuo pradinio vartotojo veiksmų, šis XMRig variantas pasižymi agresyviomis plitimo funkcijomis. Jis aktyviai plinta per išimamus atminties įrenginius, sudarydamas sąlygas horizontaliai judėti tarp sistemų, įskaitant tas, kurios yra uždaroje aplinkoje.
Ši į kirminą panaši savybė kenkėjišką programą paverčia savaime plintančia grėsme, gerokai išplėsdama jos pasiekiamumą organizaciniuose tinkluose ir padidindama botnetų mastą.
Veiklos grafikas ir strateginės pasekmės
Teismo ekspertizės duomenys rodo, kad 2025 m. lapkritį kasyba buvo vykdoma su pertrūkiais, o nuo gruodžio 8 d. – pastebimai suintensyvėjo. Ši tendencija rodo laipsniško diegimo arba aktyvinimo strategijas, kuriomis siekiama išvengti ankstyvo aptikimo.
Kampanija pabrėžia nuolatinę plataus masto kenkėjiškų programų evoliuciją. Derindami socialinę inžineriją, teisėtą programinės įrangos imitaciją, kirminų stiliaus platinimą ir branduolio lygio išnaudojimą, grėsmės veikėjai sukūrė patvarų ir našų kriptovaliutų vagystės botnetą, galintį nuolat ir optimizuoti kriptovaliutų kasimą.
