XMRig क्रिप्टोज्याकिङ अभियान

व्यापक अनुसन्धानले एउटा परिष्कृत क्रिप्टोज्याकिङ अभियानको पर्दाफास गरेको छ जसले अनुकूलित XMRig माइनरको साथ प्रणालीहरूलाई संक्रमित गर्न पाइरेटेड सफ्टवेयर बन्डलहरूको प्रयोग गर्दछ। यो अपरेशन सामाजिक इन्जिनियरिङमा धेरै निर्भर गर्दछ, क्र्याक गरिएको अफिस उत्पादकता सुइटहरू जस्ता नि:शुल्क प्रिमियम अनुप्रयोगहरूको विज्ञापन गर्दै, प्रयोगकर्ताहरूलाई ट्रोजनाइज्ड स्थापनाकर्ताहरू डाउनलोड गर्न लोभ्याउन।

यी दुर्भावनापूर्ण कार्यान्वयनयोग्यहरू प्राथमिक प्रवेश बिन्दुको रूपमा काम गर्छन्। एक पटक कार्यान्वयन भएपछि, तिनीहरूले क्रिप्टोकरेन्सी माइनिङ आउटपुटलाई अधिकतम बनाउन डिजाइन गरिएको सावधानीपूर्वक व्यवस्थित संक्रमण प्रक्रिया सुरु गर्छन्, प्रायः प्रणाली स्थिरताको खर्चमा। अभियानको भ्रामक वितरण रणनीतिहरूमा निर्भरताले मालवेयर डेलिभरी च्यानलको रूपमा सफ्टवेयर पाइरेसीको निरन्तर प्रभावकारितालाई हाइलाइट गर्दछ।

धेरै सञ्चालन मोडहरू भएको मोड्युलर संक्रमण इन्जिन

आक्रमणको मूलमा एक बहु-कार्यात्मक बाइनरी छ जुन संक्रमण जीवनचक्रको कमाण्ड केन्द्रको रूपमा काम गर्दछ। स्थापनाकर्ता, वाचडग, पेलोड प्रबन्धक, र सफाई उपयोगिताको रूपमा कार्य गर्दै, यो घटकले तैनाती, दृढता, अनुगमन, र सम्भावित आत्म-हटाउने निरीक्षण गर्दछ।

मालवेयरको मोड्युलर डिजाइनले अनुगमन क्षमताहरूलाई खनन, विशेषाधिकार वृद्धि, र निरन्तरताको लागि जिम्मेवार कोर पेलोडहरूबाट अलग गर्दछ। विशिष्ट कार्यान्वयन मोडहरू सक्षम पार्ने विशिष्ट कमाण्ड-लाइन तर्कहरू मार्फत सञ्चालन लचिलोपन प्राप्त गरिन्छ:

कुनै प्यारामिटर छैन : वातावरण प्रमाणीकरण गर्दछ र प्रारम्भिक-चरण स्थापना र माइग्रेसन ह्यान्डल गर्दछ।

००२ Re:० : प्राथमिक पेलोडहरू छोड्छ, माइनर सुरु गर्छ, र अनुगमन लूपमा प्रवेश गर्छ।

०१६ : यदि माइनर समाप्त भयो भने यसलाई पुन: सुरु गर्छ।

barusu : मालवेयर कम्पोनेन्टहरू समाप्त गर्दै र सम्बन्धित फाइलहरू हटाउँदै, आत्म-विनाश अनुक्रम सुरु गर्दछ।

यो संरचित मोड-स्विचिङ दृष्टिकोणले लचिलोपन बढाउँछ र रक्षात्मक कार्यहरू लिँदा पनि दिगो खानी गतिविधि सुनिश्चित गर्दछ।

इम्बेडेड लजिक बम र टाइम्ड डिकमिसनिङ

मालवेयरको एउटा उल्लेखनीय विशेषता भनेको लजिक बमको समावेश हो। बाइनरीले प्रणालीको स्थानीय समय पुन: प्राप्त गर्छ र डिसेम्बर २३, २०२५ को हार्डकोड गरिएको समयसीमासँग तुलना गर्छ।

• यदि डिसेम्बर २३, २०२५ भन्दा पहिले कार्यान्वयन गरियो भने, मालवेयर निरन्तर स्थापना र खानी तैनातीसँगै अगाडि बढ्छ।
• यदि यो मिति पछि कार्यान्वयन गरियो भने, यो 'barusu' प्यारामिटर प्रयोग गरेर स्वचालित रूपमा पुन: सुरु हुन्छ, जसले गर्दा नियन्त्रित स्व-विघटन प्रक्रिया ट्रिगर हुन्छ।

पूर्वनिर्धारित कटअफले सुझाव दिन्छ कि अभियान त्यो मिति सम्म निरन्तर सञ्चालन हुने उद्देश्यले गरिएको थियो। समयसीमा भाडामा लिइएको कमाण्ड-एन्ड-नियन्त्रण पूर्वाधारको म्याद समाप्ति, अपेक्षित क्रिप्टोकरेन्सी बजार परिवर्तनहरू, वा उत्तराधिकारी मालवेयर स्ट्रेनमा रणनीतिक संक्रमणसँग मेल खान्छ।

BYOVD मार्फत विशेषाधिकार वृद्धि र खनन अनुकूलन

मानक संक्रमण दिनचर्याको समयमा, बाइनरी, एक आत्म-निहित वाहकको रूपमा काम गर्दै, डिस्कमा सबै आवश्यक घटकहरू लेख्छ। यी मध्ये एक वैध विन्डोज टेलिमेट्री सेवा कार्यान्वयनयोग्य छ, जुन दुर्भावनापूर्ण माइनर DLL लाई साइडलोड गर्न दुरुपयोग गरिन्छ।

सुरक्षा उपकरणहरू असक्षम पार्न डिजाइन गरिएका कम्पोनेन्टहरूसँगै पर्सिस्टन्स मेकानिजमहरू पनि तैनाथ गरिएका छन्। बढ्दो कार्यान्वयन विशेषाधिकारहरू सुनिश्चित गर्न, मालवेयरले त्रुटिपूर्ण ड्राइभर 'WinRing0x64.sys' प्रयोग गरेर bring-your-own-vulnerable-driver (BYOVD) प्रविधि प्रयोग गर्दछ। यो ड्राइभर CVE-2020-14979 बाट प्रभावित छ, जुन ७.८ को CVSS स्कोर भएको जोखिम हो जसले विशेषाधिकार वृद्धिलाई अनुमति दिन्छ।

यो शोषणलाई सिधै अनुकूलित XMRig माइनरमा एकीकृत गरेर, आक्रमणकारीहरूले CPU कन्फिगरेसनहरूमा कम-स्तरको नियन्त्रण प्राप्त गर्छन्। यो अप्टिमाइजेसनले RandomX माइनिङ कार्यसम्पादनलाई लगभग १५% देखि ५०% सम्म बढाउँछ, जसले गर्दा नाफामा उल्लेखनीय सुधार हुन्छ।

कीरा जस्तै प्रसार र पार्श्व चाल

प्रारम्भिक प्रयोगकर्ता कार्यान्वयनमा मात्र निर्भर हुने परम्परागत ट्रोजनहरू भन्दा फरक, यो XMRig भेरियन्टले आक्रामक प्रसार सुविधाहरू समावेश गर्दछ। यो सक्रिय रूपमा हटाउन सकिने भण्डारण उपकरणहरू मार्फत फैलिन्छ, जसले गर्दा एयर-ग्याप्ड वातावरणमा भएकाहरू सहित प्रणालीहरूमा पार्श्व आन्दोलन सक्षम हुन्छ।

यो किरा जस्तो क्षमताले मालवेयरलाई स्व-प्रसारित खतरामा रूपान्तरण गर्छ, संगठनात्मक सञ्जालहरू भित्र यसको पहुँचलाई उल्लेखनीय रूपमा विस्तार गर्छ र बोटनेट स्केल बढाउँछ।

सञ्चालन समयरेखा र रणनीतिक प्रभावहरू

फोरेन्सिक प्रमाणले नोभेम्बर २०२५ भरि नै खानी गतिविधिमा अवरोध आएको संकेत गर्छ, त्यसपछि डिसेम्बर ८, २०२५ मा उल्लेखनीय वृद्धि सुरु भयो। यो ढाँचाले प्रारम्भिक पहिचानबाट बच्नको लागि चरणबद्ध तैनाती वा सक्रियता रणनीतिहरूको सुझाव दिन्छ।

यो अभियानले कमोडिटी मालवेयरको निरन्तर विकासलाई जोड दिन्छ। सामाजिक इन्जिनियरिङ, वैध सफ्टवेयर प्रतिरूपण, वर्म-शैली प्रसार, र कर्नेल-स्तर शोषणलाई संयोजन गरेर, खतरा अभिनेताहरूले दिगो र अनुकूलित क्रिप्टोकरेन्सी माइनिङ गर्न सक्षम एक टिकाउ र उच्च-प्रदर्शन क्रिप्टोज्याकिङ बोटनेट इन्जिनियर गरेका छन्।