แคมเปญการโจรกรรมคริปโตเคอร์เรนซี XMRig

การสืบสวนอย่างละเอียดได้เปิดเผยถึงแคมเปญการโจรกรรมคริปโตที่ซับซ้อน ซึ่งใช้ชุดซอฟต์แวร์ละเมิดลิขสิทธิ์เพื่อแพร่เชื้อระบบด้วยโปรแกรมขุด XMRig ที่ปรับแต่งเอง การปฏิบัติการนี้อาศัยเทคนิคทางสังคมเป็นอย่างมาก โดยการโฆษณาแอปพลิเคชันระดับพรีเมียมฟรี เช่น ชุดโปรแกรมสำนักงานที่ถูกแคร็ก เพื่อล่อลวงให้ผู้ใช้ดาวน์โหลดโปรแกรมติดตั้งที่มีมัลแวร์แฝงอยู่

ไฟล์ปฏิบัติการที่เป็นอันตรายเหล่านี้ทำหน้าที่เป็นจุดเริ่มต้นหลัก เมื่อถูกเรียกใช้งานแล้ว มันจะเริ่มกระบวนการแพร่เชื้อที่ถูกวางแผนไว้อย่างรอบคอบ โดยมีเป้าหมายเพื่อเพิ่มผลผลิตการขุดคริปโตเคอร์เรนซีให้สูงสุด ซึ่งมักจะส่งผลเสียต่อเสถียรภาพของระบบ การที่แคมเปญนี้ใช้กลยุทธ์การเผยแพร่ที่หลอกลวง แสดงให้เห็นถึงประสิทธิภาพอย่างต่อเนื่องของการละเมิดลิขสิทธิ์ซอฟต์แวร์ในฐานะช่องทางในการส่งมัลแวร์

เครื่องมือสร้างการติดเชื้อแบบโมดูลาร์ที่มีโหมดการทำงานหลากหลาย

หัวใจสำคัญของการโจมตีคือไฟล์ไบนารีอเนกประสงค์ที่ทำหน้าที่เป็นศูนย์บัญชาการของวงจรการติดเชื้อ โดยทำหน้าที่เป็นทั้งตัวติดตั้ง ตัวเฝ้าระวัง ตัวจัดการเพย์โหลด และยูทิลิตี้สำหรับการล้างข้อมูล ส่วนประกอบนี้จะควบคุมการติดตั้ง การคงอยู่ การตรวจสอบ และการลบตัวเองในที่สุด

การออกแบบแบบแยกส่วนของมัลแวร์นี้แยกความสามารถในการตรวจสอบออกจากส่วนหลักที่รับผิดชอบในการขุดเหรียญดิจิทัล การยกระดับสิทธิ์ และการคงอยู่ในระบบ ความยืดหยุ่นในการใช้งานเกิดขึ้นได้จากการใช้พารามิเตอร์บรรทัดคำสั่งเฉพาะที่ช่วยให้สามารถเรียกใช้งานในโหมดต่างๆ ได้:

ไม่มีพารามิเตอร์ : ดำเนินการตรวจสอบความถูกต้องของสภาพแวดล้อม และจัดการการติดตั้งและการย้ายข้อมูลในระยะเริ่มต้น

002 Re:0 : ทิ้งเพย์โหลดหลัก เริ่มโปรแกรมขุด และเข้าสู่ลูปการตรวจสอบ

016 : เริ่มการทำงานของโปรแกรมขุดใหม่หากโปรแกรมถูกปิดลง

barusu : เริ่มลำดับการทำลายตัวเอง โดยยุติส่วนประกอบของมัลแวร์และลบไฟล์ที่เกี่ยวข้อง

แนวทางการสลับโหมดที่มีโครงสร้างนี้ช่วยเพิ่มความยืดหยุ่นและรับประกันการดำเนินกิจกรรมการทำเหมืองอย่างต่อเนื่อง แม้ว่าจะมีการดำเนินการป้องกันก็ตาม

ระเบิดตรรกะฝังตัวและการปิดใช้งานตามเวลาที่กำหนด

ลักษณะเด่นอย่างหนึ่งของมัลแวร์นี้คือการมีระเบิดตรรกะอยู่ภายใน ไฟล์ไบนารีจะดึงเวลาท้องถิ่นของระบบและเปรียบเทียบกับกำหนดเส้นตายที่กำหนดไว้ล่วงหน้าคือวันที่ 23 ธันวาคม 2025

• หากดำเนินการก่อนวันที่ 23 ธันวาคม 2025 มัลแวร์จะดำเนินการติดตั้งแบบถาวรและติดตั้งโปรแกรมขุดเหรียญต่อไป
• หากดำเนินการหลังจากวันดังกล่าว ระบบจะเริ่มต้นการทำงานใหม่โดยอัตโนมัติโดยใช้พารามิเตอร์ 'barusu' ซึ่งจะเริ่มกระบวนการปิดใช้งานตัวเองอย่างเป็นระบบ

กำหนดเส้นตายที่ระบุไว้ล่วงหน้าบ่งชี้ว่าแคมเปญนี้มีจุดประสงค์เพื่อดำเนินการอย่างต่อเนื่องจนถึงวันดังกล่าว เส้นตายนี้อาจสอดคล้องกับการหมดอายุของโครงสร้างพื้นฐานการควบคุมและสั่งการที่เช่ามา การเปลี่ยนแปลงที่คาดการณ์ไว้ของตลาดสกุลเงินดิจิทัล หรือการเปลี่ยนผ่านเชิงกลยุทธ์ไปสู่มัลแวร์สายพันธุ์ใหม่กว่า

การยกระดับสิทธิ์และการเพิ่มประสิทธิภาพการขุดผ่านอุปกรณ์พกพาส่วนตัว (BYOVD)

ในระหว่างขั้นตอนการติดเชื้อตามปกติ ไฟล์ไบนารีซึ่งทำหน้าที่เป็นพาหะแบบครบวงในตัวเอง จะเขียนส่วนประกอบที่จำเป็นทั้งหมดลงดิสก์ ซึ่งรวมถึงไฟล์ปฏิบัติการบริการ Windows Telemetry ที่ถูกต้องตามกฎหมาย ซึ่งถูกนำไปใช้ในทางที่ผิดเพื่อโหลด DLL ของโปรแกรมขุดเหรียญดิจิทัลที่เป็นอันตราย

กลไกการคงอยู่ของมัลแวร์ถูกนำมาใช้เช่นกัน พร้อมด้วยส่วนประกอบที่ออกแบบมาเพื่อปิดการใช้งานเครื่องมือรักษาความปลอดภัย เพื่อให้มั่นใจได้ว่ามีสิทธิ์ในการเรียกใช้งานที่สูงขึ้น มัลแวร์จะใช้เทคนิค Bring-Your-Own-Vulnerable-Driver (BYOVD) โดยใช้ไดรเวอร์ที่มีข้อบกพร่อง 'WinRing0x64.sys' ไดรเวอร์นี้ได้รับผลกระทบจาก CVE-2020-14979 ซึ่งเป็นช่องโหว่ที่มีคะแนน CVSS 7.8 ที่อนุญาตให้ยกระดับสิทธิ์ได้

ด้วยการผสานช่องโหว่นี้เข้ากับโปรแกรมขุด XMRig ที่ปรับแต่งเองโดยตรง ผู้โจมตีจะสามารถควบคุมการกำหนดค่า CPU ในระดับต่ำได้ การปรับปรุงนี้ช่วยเพิ่มประสิทธิภาพการขุด RandomX ได้ประมาณ 15% ถึง 50% ซึ่งช่วยเพิ่มผลกำไรได้อย่างมาก

การแพร่พันธุ์แบบหนอนและการเคลื่อนที่ด้านข้าง

แตกต่างจากโทรจันแบบดั้งเดิมที่อาศัยเพียงการติดตั้งโดยผู้ใช้ในครั้งแรกเท่านั้น ไวรัส XMRig สายพันธุ์นี้มีคุณสมบัติการแพร่กระจายที่รุนแรง มันแพร่กระจายอย่างรวดเร็วผ่านอุปกรณ์จัดเก็บข้อมูลแบบถอดได้ ทำให้สามารถเคลื่อนย้ายข้ามระบบได้ รวมถึงระบบที่แยกขาดจากเครือข่าย (air-gapped) ด้วย

ความสามารถคล้ายหนอนนี้เปลี่ยนมัลแวร์ให้กลายเป็นภัยคุกคามที่แพร่กระจายได้ด้วยตนเอง ขยายขอบเขตการเข้าถึงภายในเครือข่ายขององค์กรอย่างมาก และเพิ่มขนาดของบอทเน็ตให้ใหญ่ขึ้น

แผนงานปฏิบัติการและนัยสำคัญเชิงกลยุทธ์

หลักฐานทางนิติวิทยาศาสตร์บ่งชี้ว่ามีการทำเหมืองเป็นระยะๆ ตลอดเดือนพฤศจิกายน 2025 ตามด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดเริ่มตั้งแต่วันที่ 8 ธันวาคม 2025 รูปแบบนี้ชี้ให้เห็นถึงกลยุทธ์การวางแผนหรือการเปิดใช้งานเป็นระยะๆ เพื่อหลีกเลี่ยงการตรวจพบในช่วงแรก

แคมเปญนี้เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของมัลแวร์เชิงพาณิชย์ โดยการผสมผสานวิศวกรรมทางสังคม การปลอมแปลงซอฟต์แวร์ที่ถูกต้อง การแพร่กระจายแบบเวิร์ม และการโจมตีระดับเคอร์เนล ผู้โจมตีได้สร้างบอทเน็ตขุดคริปโตเคอร์เรนซีที่มีประสิทธิภาพสูงและทนทาน ซึ่งสามารถขุดคริปโตเคอร์เรนซีได้อย่างต่อเนื่องและมีประสิทธิภาพสูงสุด