XMRig Kripto Hırsızlığı Kampanyası
Kapsamlı soruşturmalar, korsan yazılım paketlerini kullanarak sistemlere özelleştirilmiş bir XMRig madencilik yazılımı bulaştıran gelişmiş bir kripto para madenciliği kampanyasını ortaya çıkardı. Operasyon, kullanıcıları truva atı bulaşmış kurulum dosyalarını indirmeye teşvik etmek için, korsan ofis verimlilik paketleri gibi ücretsiz premium uygulamaların reklamını yaparak sosyal mühendisliğe büyük ölçüde dayanıyor.
Bu kötü amaçlı çalıştırılabilir dosyalar, birincil giriş noktası görevi görür. Çalıştırıldıktan sonra, genellikle sistem istikrarı pahasına, kripto para madenciliği çıktısını en üst düzeye çıkarmak için tasarlanmış, dikkatlice planlanmış bir enfeksiyon sürecini başlatırlar. Kampanyanın aldatıcı dağıtım taktiklerine dayanması, yazılım korsanlığının kötü amaçlı yazılım dağıtım kanalı olarak devam eden etkinliğini vurgulamaktadır.
İçindekiler
Çoklu Çalışma Modlarına Sahip Modüler Bir Enfeksiyon Motoru
Saldırının özünde, enfeksiyon yaşam döngüsünün komuta merkezi olarak işlev gören çok işlevli bir ikili dosya yer almaktadır. Kurulum programı, gözetleme mekanizması, zararlı yazılım yöneticisi ve temizleme aracı olarak görev yapan bu bileşen, dağıtım, kalıcılık, izleme ve olası kendi kendini kaldırma işlemlerini denetler.
Kötü amaçlı yazılımın modüler tasarımı, izleme yeteneklerini madencilik, ayrıcalık yükseltme ve kalıcılıktan sorumlu temel yüklerden ayırır. Operasyonel esneklik, farklı yürütme modlarını etkinleştiren belirli komut satırı argümanları aracılığıyla sağlanır:
Parametre yok : Ortam doğrulamasını gerçekleştirir ve erken aşama kurulum ve geçiş işlemlerini yönetir.
002 Re:0 : Birincil yükleri bırakır, madenciyi başlatır ve bir izleme döngüsüne girer.
016 : Madencilik programı sonlandırılırsa yeniden başlatır.
barusu : Kendini imha etme dizisini başlatır, kötü amaçlı yazılım bileşenlerini sonlandırır ve ilgili dosyaları siler.
Bu yapılandırılmış mod değiştirme yaklaşımı, dayanıklılığı artırır ve savunma önlemleri alındığında bile madencilik faaliyetinin sürdürülebilirliğini sağlar.
Gömülü Mantık Bombası ve Zamanlı Devre Dışı Bırakma
Bu kötü amaçlı yazılımın dikkat çekici özelliklerinden biri, mantık bombası içermesidir. Yazılım, sistemin yerel saatini alır ve bunu önceden belirlenmiş 23 Aralık 2025 son tarihiyle karşılaştırır.
- 23 Aralık 2025'ten önce çalıştırılırsa, kötü amaçlı yazılım kalıcı kurulum ve madencilik yazılımı dağıtımına devam eder.
- Bu tarihten sonra çalıştırılırsa, 'barusu' parametresi kullanılarak otomatik olarak yeniden başlatılır ve kontrollü bir kendi kendini devre dışı bırakma süreci tetiklenir.
Önceden belirlenmiş son tarih, kampanyanın o tarihe kadar kesintisiz olarak çalışmasının amaçlandığını göstermektedir. Son tarih, kiralanan komuta ve kontrol altyapısının sona ermesine, beklenen kripto para piyasası değişikliklerine veya stratejik olarak bir sonraki kötü amaçlı yazılım türüne geçişe karşılık gelebilir.
BYOVD aracılığıyla Ayrıcalık Yükseltme ve Madencilik Optimizasyonu
Standart bir enfeksiyon sürecinde, kendi kendine yeten bir taşıyıcı görevi gören ikili dosya, gerekli tüm bileşenleri diske yazar. Bunlar arasında, kötü amaçlı madencilik DLL'sini yüklemek için kötüye kullanılan meşru bir Windows Telemetri hizmeti yürütülebilir dosyası da bulunur.
Kalıcılık mekanizmalarının yanı sıra, güvenlik araçlarını devre dışı bırakmak için tasarlanmış bileşenler de devreye sokulmuştur. Yüksek yürütme ayrıcalıklarını sağlamak için, kötü amaçlı yazılım, kusurlu 'WinRing0x64.sys' sürücüsünü kullanarak "kendi savunmasız sürücünüzü getirin" (BYOVD) tekniğini kullanır. Bu sürücü, ayrıcalık yükseltmesine izin veren ve CVSS puanı 7,8 olan CVE-2020-14979 güvenlik açığından etkilenmektedir.
Saldırganlar, bu güvenlik açığını doğrudan özelleştirilmiş XMRig madencilik yazılımına entegre ederek, CPU yapılandırmaları üzerinde düşük seviyeli kontrol elde ediyorlar. Bu optimizasyon, RandomX madencilik performansını yaklaşık %15 ila %50 oranında artırarak karlılığı önemli ölçüde iyileştiriyor.
Solucan Benzeri Yayılma ve Yanal Hareket
Yalnızca ilk kullanıcı tarafından çalıştırılmaya bağlı olan geleneksel Truva atlarının aksine, bu XMRig varyantı agresif yayılma özelliklerini içerir. Çıkarılabilir depolama aygıtları aracılığıyla aktif olarak yayılır ve hava boşluklu ortamlar da dahil olmak üzere sistemler arasında yatay hareket etmeyi sağlar.
Bu solucan benzeri yetenek, kötü amaçlı yazılımı kendi kendini yayan bir tehdide dönüştürerek, kurumsal ağlar içindeki erişim alanını önemli ölçüde genişletir ve botnet ölçeğini artırır.
Operasyonel Zaman Çizelgesi ve Stratejik Etkiler
Adli kanıtlar, Kasım 2025 boyunca aralıklı madencilik faaliyetlerinin devam ettiğini, ardından 8 Aralık 2025'ten itibaren belirgin bir artış yaşandığını göstermektedir. Bu durum, erken tespit edilmekten kaçınmayı amaçlayan aşamalı konuşlandırma veya aktivasyon stratejilerini akla getirmektedir.
Bu kampanya, yaygın olarak kullanılan kötü amaçlı yazılımların sürekli evrimini vurguluyor. Sosyal mühendislik, meşru yazılım taklitçiliği, solucan tarzı yayılma ve çekirdek düzeyinde istismar yöntemlerini bir araya getiren tehdit aktörleri, sürdürülebilir ve optimize edilmiş kripto para madenciliği yapabilen, dayanıklı ve yüksek performanslı bir kripto para madenciliği botnet'i geliştirdiler.
