Kampanya ng XMRig Cryptojacking
Natuklasan sa malawakang imbestigasyon ang isang sopistikadong kampanya ng cryptojacking na gumagamit ng mga pirated na software bundle upang mahawa ang mga sistema gamit ang isang customized na XMRig miner. Ang operasyon ay lubos na umaasa sa social engineering, pag-aanunsyo ng mga libreng premium na application, tulad ng mga cracked office productivity suite, upang hikayatin ang mga user na mag-download ng mga trojanized installer.
Ang mga malisyosong executable na ito ang nagsisilbing pangunahing entry point. Kapag naisagawa na, sinisimulan nila ang isang maingat na inayos na proseso ng impeksyon na idinisenyo upang ma-maximize ang output ng pagmimina ng cryptocurrency, na kadalasang isinasapanganib ang katatagan ng sistema. Ang pag-asa ng kampanya sa mapanlinlang na mga taktika sa pamamahagi ay nagpapakita ng patuloy na pagiging epektibo ng pandarambong ng software bilang isang channel ng paghahatid ng malware.
Talaan ng mga Nilalaman
Isang Modular Infection Engine na may Maramihang Operasyonal na mga Mode
Sa kaibuturan ng pag-atake ay naroon ang isang multifunctional binary na gumagana bilang command center ng lifecycle ng impeksyon. Gumaganap bilang isang installer, watchdog, payload manager, at cleanup utility, ang component na ito ay nangangasiwa sa deployment, persistence, monitoring, at potensyal na self-removal.
Pinaghihiwalay ng modular na disenyo ng malware ang mga kakayahan sa pagsubaybay mula sa mga pangunahing payload na responsable para sa pagmimina, pagpapataas ng pribilehiyo, at pagtitiyaga. Nakakamit ang kakayahang umangkop sa operasyon sa pamamagitan ng mga partikular na argumento sa command-line na nagbibigay-daan sa magkakaibang mga mode ng pagpapatupad:
Walang parameter : Nagsasagawa ng pagpapatunay ng kapaligiran at nangangasiwa sa maagang yugto ng pag-install at paglipat.
002 Re:0 : Ibinababa ang mga pangunahing payload, inilulunsad ang miner, at pumapasok sa isang monitoring loop.
016 : Muling sisimulan ang minero kung ito ay tinapos na.
barusu : Nagsisimula ng isang pagkakasunud-sunod ng self-destruct, tinatapos ang mga bahagi ng malware at inaalis ang mga nauugnay na file.
Ang nakabalangkas na pamamaraan ng pagpapalit ng mode na ito ay nagpapahusay sa katatagan at tinitiyak ang patuloy na aktibidad sa pagmimina kahit na may mga aksyong nagtatanggol.
Naka-embed na Logic Bomb at Naka-time na Pag-decommission
Isang kapansin-pansing katangian ng malware ay ang pagkakaroon ng logic bomb. Kinukuha ng binary ang lokal na oras ng system at inihahambing ito sa isang nakatakdang deadline na Disyembre 23, 2025.
- Kung isasagawa bago ang Disyembre 23, 2025, ang malware ay magpapatuloy sa persistence installation at miner deployment.
- Kung isasagawa pagkatapos ng petsang ito, awtomatiko nitong ilulunsad muli ang sarili nito gamit ang parameter na 'barusu', na magti-trigger ng isang kontroladong proseso ng self-decommissioning.
Ang paunang natukoy na hangganan ay nagmumungkahi na ang kampanya ay nilayon na patuloy na gumana hanggang sa petsang iyon. Ang deadline ay maaaring tumutugma sa pag-expire ng inuupahang command-and-control infrastructure, inaasahang mga pagbabago sa merkado ng cryptocurrency, o isang estratehikong paglipat sa isang kahaliling strain ng malware.
Pagpapataas ng Pribilehiyo at Pag-optimize ng Pagmimina sa pamamagitan ng BYOVD
Sa isang karaniwang routine ng impeksyon, ang binary, na gumagana bilang isang self-contained carrier, ay nagsusulat ng lahat ng kinakailangang bahagi sa disk. Kabilang dito ang isang lehitimong executable na serbisyo ng Windows Telemetry, na inaabuso upang i-sideload ang malisyosong miner DLL.
Mayroon ding mga mekanismo ng persistence na inilalapat, kasama ang mga bahaging idinisenyo upang i-disable ang mga security tool. Upang matiyak ang mataas na pribilehiyo sa pagpapatupad, gumagamit ang malware ng bring-your-own-vulnerable-driver (BYOVD) na pamamaraan gamit ang depektibong driver na 'WinRing0x64.sys.' Ang driver na ito ay apektado ng CVE-2020-14979, isang kahinaan na may CVSS score na 7.8 na nagpapahintulot sa pagtaas ng pribilehiyo.
Sa pamamagitan ng direktang pagsasama ng exploit na ito sa customized na XMRig miner, ang mga attacker ay nakakakuha ng mababang antas ng kontrol sa mga configuration ng CPU. Ang optimization na ito ay nagpapataas ng performance ng RandomX mining ng humigit-kumulang 15% hanggang 50%, na makabuluhang nagpapabuti sa kakayahang kumita.
Pagpaparami ng Parang Uod at Paggalaw sa Lateral
Hindi tulad ng mga tradisyunal na Trojan na umaasa lamang sa unang pagpapatupad ng gumagamit, ang variant na XMRig na ito ay may kasamang agresibong mga tampok sa pagpapalaganap. Aktibo itong kumakalat sa pamamagitan ng mga naaalis na storage device, na nagbibigay-daan sa paggalaw sa mga sistema, kabilang ang mga nasa mga kapaligirang may air gap.
Ang kakayahang parang bulate na ito ay ginagawang isang banta na kusang kumakalat ang malware, na lubos na nagpapalawak ng abot nito sa loob ng mga network ng organisasyon at nagpapataas ng saklaw ng botnet.
Takdang Panahon ng Operasyon at mga Istratehikong Implikasyon
Ipinapahiwatig ng ebidensyang forensik ang paulit-ulit na aktibidad ng pagmimina sa buong Nobyembre 2025, na sinundan ng isang malaking pagdagsa na nagsimula noong Disyembre 8, 2025. Ang padron na ito ay nagmumungkahi ng unti-unting pag-deploy o mga estratehiya sa pag-activate na naglalayong maiwasan ang maagang pagtuklas.
Binibigyang-diin ng kampanya ang patuloy na ebolusyon ng commodity malware. Sa pamamagitan ng pagsasama-sama ng social engineering, lehitimong panggagaya ng software, pagpapalaganap ng worm-style, at kernel-level exploitation, ang mga threat actor ay nakabuo ng isang matibay at mataas na performance na cryptojacking botnet na may kakayahang panatiliin at i-optimize ang cryptocurrency mining.
