XMRig kriptovalūtu zādzības kampaņa
Plašas izmeklēšanas ir atklājušas sarežģītu kriptovalūtu zādzības kampaņu, kas izmanto pirātiskas programmatūras pakotnes, lai inficētu sistēmas ar pielāgotu XMRig ieguves rīku. Šī operācija lielā mērā balstās uz sociālo inženieriju, reklamējot bezmaksas maksas lietojumprogrammas, piemēram, uzlauztus biroja produktivitātes pakotnes, lai pievilinātu lietotājus lejupielādēt Trojas zirga instalētājus.
Šie ļaunprātīgie izpildāmie faili kalpo kā galvenais ieejas punkts. Pēc izpildes tie uzsāk rūpīgi organizētu inficēšanas procesu, kas paredzēts, lai maksimāli palielinātu kriptovalūtas ieguves jaudu, bieži vien uz sistēmas stabilitātes rēķina. Kampaņas paļaušanās uz maldinošu izplatīšanas taktiku uzsver programmatūras pirātisma kā ļaunprogrammatūras piegādes kanāla pastāvīgo efektivitāti.
Satura rādītājs
Modulāra infekcijas dzinēja sistēma ar vairākiem darbības režīmiem
Uzbrukuma centrā ir daudzfunkcionāls binārais fails, kas darbojas kā infekcijas dzīves cikla komandcentrs. Darbojoties kā instalētājs, sargsuns, lietderīgās slodzes pārvaldnieks un tīrīšanas utilīta, šis komponents pārrauga izvietošanu, noturību, uzraudzību un iespējamu pašiznīcināšanos.
Ļaunprogrammatūras modulārais dizains atdala uzraudzības iespējas no pamata slodzēm, kas atbild par datu ieguvi, privilēģiju eskalāciju un datu saglabāšanu. Darbības elastība tiek panākta, izmantojot īpašus komandrindas argumentus, kas nodrošina atšķirīgus izpildes režīmus:
Bez parametra : veic vides validāciju un apstrādā agrīnās stadijas instalēšanu un migrāciju.
002 Re:0 : Atmet primāros vērtumus, palaiž ieguves programmu un ieiet uzraudzības cilpā.
016 : Restartē kalnraču, ja tas ir pārtraukts.
barusu : Uzsāk pašiznīcināšanās secību, pārtraucot ļaunprogrammatūras komponentus un noņemot saistītos failus.
Šī strukturētā režīmu pārslēgšanas pieeja uzlabo noturību un nodrošina ilgstošu ieguves darbību pat tad, ja tiek veiktas aizsardzības darbības.
Iegultā loģiskā bumba un laika ziņā ierobežota demontāža
Ievērojama ļaunprogrammatūras iezīme ir loģiskās bumbas iekļaušana. Binārais fails izgūst sistēmas vietējo laiku un salīdzina to ar cietkodā ierakstīto termiņu — 2025. gada 23. decembri.
- Ja ļaunprogrammatūra tiek izpildīta pirms 2025. gada 23. decembra, tā turpina pastāvīgu instalēšanu un ieguves rīku izvietošanu.
- Ja tas tiek izpildīts pēc šī datuma, tas automātiski atkārtoti palaiž sevi, izmantojot parametru “barusu”, iedarbinot kontrolētu pašizslēgšanās procesu.
Iepriekš noteiktais termiņš liecina, ka kampaņai bija paredzēts darboties nepārtraukti līdz šim datumam. Termiņš var atbilst nomātās vadības un kontroles infrastruktūras termiņa beigām, paredzamajām kriptovalūtu tirgus izmaiņām vai stratēģiskai pārejai uz pēcteča ļaunprogrammatūras paveidu.
Privilēģiju eskalācija un ieguves optimizācija, izmantojot BYOVD
Standarta inficēšanas rutīnas laikā binārais fails, kas darbojas kā autonoms datu nesējs, ieraksta diskā visus nepieciešamos komponentus. Starp tiem ir likumīgs Windows Telemetry pakalpojuma izpildfails, kas tiek ļaunprātīgi izmantots, lai sānielādētu ļaunprātīgo ieguves DLL.
Tiek izmantoti arī noturības mehānismi, kā arī komponenti, kas paredzēti drošības rīku atspējošanai. Lai nodrošinātu paaugstinātas izpildes privilēģijas, ļaunprogrammatūra izmanto savu ievainojamo draiveri (BYOVD) paņēmienu, izmantojot kļūdaino draiveri “WinRing0x64.sys”. Šo draiveri ietekmē CVE-2020-14979, ievainojamība ar CVSS vērtējumu 7,8, kas ļauj palielināt privilēģijas.
Integrējot šo ievainojamību tieši pielāgotajā XMRig ieguves programmā, uzbrucēji iegūst zemu kontroli pār procesora konfigurācijām. Šī optimizācija palielina RandomX ieguves veiktspēju par aptuveni 15% līdz 50%, ievērojami uzlabojot rentabilitāti.
Tārpu līdzīga izplatīšanās un sānu kustība
Atšķirībā no tradicionālajiem Trojas zirgiem, kas ir atkarīgi tikai no lietotāja sākotnējās izpildes, šis XMRig variants ietver agresīvas izplatīšanās funkcijas. Tas aktīvi izplatās, izmantojot noņemamas atmiņas ierīces, nodrošinot sānu pārvietošanos starp sistēmām, tostarp tām, kas atrodas vidē ar gaisa spraugām.
Šī tārpam līdzīgā spēja pārveido ļaunprogrammatūru par pašizplatošu apdraudējumu, ievērojami paplašinot tās sasniedzamību organizāciju tīklos un palielinot botnetu mērogu.
Darbības laika grafiks un stratēģiskās sekas
Tiesu medicīnas pierādījumi liecina par periodisku ieguves darbību visā 2025. gada novembrī, kam sekoja ievērojams pieaugums, sākot ar 2025. gada 8. decembri. Šī tendence liecina par pakāpeniskām izvietošanas vai aktivizācijas stratēģijām, kuru mērķis ir izvairīties no agrīnas atklāšanas.
Kampaņa uzsver nepārtraukto plaša patēriņa ļaunprogrammatūras evolūciju. Apvienojot sociālo inženieriju, likumīgu programmatūras imitāciju, tārpu stila izplatīšanos un kodola līmeņa izmantošanu, apdraudējumu dalībnieki ir izveidojuši izturīgu un augstas veiktspējas kriptovalūtu zādzības botnetu, kas spēj veikt ilgstošu un optimizētu kriptovalūtas ieguvi.
