Kempen Pencurian Kripto XMRig
Siasatan meluas telah mendedahkan kempen cryptojacking yang canggih yang memanfaatkan pakej perisian cetak rompak untuk menjangkiti sistem dengan pelombong XMRig tersuai. Operasi ini banyak bergantung pada kejuruteraan sosial, mengiklankan aplikasi premium percuma, seperti suit produktiviti pejabat yang dipecahkan, untuk menarik pengguna memuat turun pemasang yang ditrojankan.
File boleh laku berniat jahat ini berfungsi sebagai titik masuk utama. Setelah dilaksanakan, ia akan memulakan proses jangkitan yang dirancang dengan teliti yang direka untuk memaksimumkan output perlombongan mata wang kripto, selalunya dengan mengorbankan kestabilan sistem. Kebergantungan kempen pada taktik pengedaran yang mengelirukan menonjolkan keberkesanan berterusan cetak rompak perisian sebagai saluran penghantaran malware.
Isi kandungan
Enjin Jangkitan Modular dengan Pelbagai Mod Operasi
Teras serangan terletak binari pelbagai fungsi yang beroperasi sebagai pusat arahan kitaran hayat jangkitan. Bertindak sebagai pemasang, pengawas, pengurus muatan dan utiliti pembersihan, komponen ini menyelia penggunaan, kegigihan, pemantauan dan potensi penyingkiran sendiri.
Reka bentuk modular perisian hasad ini memisahkan keupayaan pemantauan daripada muatan teras yang bertanggungjawab untuk perlombongan, peningkatan keistimewaan dan kegigihan. Fleksibiliti operasi dicapai melalui argumen baris arahan tertentu yang membolehkan mod pelaksanaan yang berbeza:
Tiada parameter : Melakukan pengesahan persekitaran dan mengendalikan pemasangan dan migrasi peringkat awal.
002 Re:0 : Menggugurkan muatan utama, melancarkan pelombong dan memasuki gelung pemantauan.
016 : Memulakan semula pelombong jika ia ditamatkan.
barusu : Memulakan urutan pemusnahan sendiri, menamatkan komponen perisian hasad dan mengalih keluar fail yang berkaitan.
Pendekatan penukaran mod berstruktur ini meningkatkan daya tahan dan memastikan aktiviti perlombongan yang berterusan walaupun tindakan pertahanan diambil.
Bom Logik Terbenam dan Penyahtauliahan Bermasa
Satu ciri penting perisian hasad ini ialah penyertaan bom logik. Binari tersebut mengambil masa tempatan sistem dan membandingkannya dengan tarikh akhir yang dikodkan secara tetap iaitu 23 Disember 2025.
- Jika dilaksanakan sebelum 23 Disember 2025, perisian hasad akan diteruskan dengan pemasangan persistensi dan penggunaan pelombong.
- Jika dilaksanakan selepas tarikh ini, ia akan melancarkan semula dirinya secara automatik menggunakan parameter 'barusu', sekali gus mencetuskan proses penyahtauliahan kendiri yang terkawal.
Batasan yang telah ditetapkan menunjukkan bahawa kempen tersebut bertujuan untuk beroperasi secara berterusan sehingga tarikh tersebut. Tarikh akhir tersebut mungkin sepadan dengan tamatnya infrastruktur arahan dan kawalan yang disewa, perubahan pasaran mata wang kripto yang dijangkakan atau peralihan strategik kepada strain perisian hasad pengganti.
Peningkatan Keistimewaan dan Pengoptimuman Perlombongan melalui BYOVD
Semasa rutin jangkitan standard, binari, yang berfungsi sebagai pembawa kendiri, menulis semua komponen yang diperlukan ke cakera. Antaranya ialah perkhidmatan Telemetri Windows yang sah, yang disalahgunakan untuk memuatkan DLL pelombong berniat jahat secara sampingan.
Mekanisme kegigihan juga digunakan, bersama-sama dengan komponen yang direka untuk melumpuhkan alat keselamatan. Bagi memastikan keistimewaan pelaksanaan yang tinggi, perisian hasad ini menggunakan teknik bawa-pemacu-terdedah-anda-sendiri (BYOVD) menggunakan pemacu cacat 'WinRing0x64.sys.' Pemacu ini terjejas oleh CVE-2020-14979, satu kerentanan dengan skor CVSS 7.8 yang membenarkan peningkatan keistimewaan.
Dengan mengintegrasikan eksploitasi ini terus ke dalam pelombong XMRig tersuai, penyerang memperoleh kawalan peringkat rendah ke atas konfigurasi CPU. Pengoptimuman ini meningkatkan prestasi perlombongan RandomX sebanyak kira-kira 15% hingga 50%, sekali gus meningkatkan keuntungan dengan ketara.
Pembiakan Seperti Cacing dan Pergerakan Lateral
Tidak seperti Trojan tradisional yang hanya bergantung pada pelaksanaan awal pengguna, varian XMRig ini menggabungkan ciri penyebaran yang agresif. Ia secara aktif merebak melalui peranti storan boleh tanggal, membolehkan pergerakan lateral merentasi sistem, termasuk yang berada dalam persekitaran berjurang udara.
Keupayaan seperti cacing ini mengubah perisian hasad menjadi ancaman yang menyebarkan diri, meluaskan jangkauannya dengan ketara dalam rangkaian organisasi dan meningkatkan skala botnet.
Garis Masa Operasi dan Implikasi Strategik
Bukti forensik menunjukkan aktiviti perlombongan sekejap-sekejap sepanjang November 2025, diikuti dengan lonjakan ketara bermula pada 8 Disember 2025. Corak ini mencadangkan strategi penggunaan atau pengaktifan berperingkat yang bertujuan untuk mengelakkan pengesanan awal.
Kempen ini menggariskan evolusi berterusan perisian hasad komoditi. Dengan menggabungkan kejuruteraan sosial, penyamaran perisian yang sah, penyebaran gaya cacing dan eksploitasi peringkat kernel, pelaku ancaman telah merekayasa botnet cryptojacking yang tahan lama dan berprestasi tinggi yang mampu perlombongan mata wang kripto yang berterusan dan dioptimumkan.
