Кампанія з криптоджекінгу XMRig
Широкі розслідування виявили складну кампанію з криптоджекінгу, яка використовує піратські пакети програмного забезпечення для зараження систем спеціалізованим майнером XMRig. Ця операція значною мірою спирається на соціальну інженерію, рекламуючи безкоштовні преміум-додатки, такі як зламані офісні пакети, щоб спонукати користувачів завантажувати інсталятори троянських програм.
Ці шкідливі виконувані файли слугують основною точкою входу. Після виконання вони запускають ретельно організований процес зараження, призначений для максимізації обсягів майнінгу криптовалюти, часто за рахунок стабільності системи. Залежність кампанії від оманливої тактики розповсюдження підкреслює постійну ефективність програмного піратства як каналу поширення шкідливого програмного забезпечення.
Зміст
Модульний механізм зараження з кількома режимами роботи
В основі атаки лежить багатофункціональний бінарний файл, який функціонує як командний центр життєвого циклу інфекції. Виконуючи функції інсталятора, сторожового таймера, менеджера корисного навантаження та утиліти очищення, цей компонент контролює розгортання, збереження, моніторинг та потенційне самовидалення.
Модульна конструкція шкідливого програмного забезпечення відокремлює можливості моніторингу від основних корисних навантажень, відповідальних за майнінг, ескалацію привілеїв та збереження даних. Операційна гнучкість досягається за допомогою спеціальних аргументів командного рядка, які дозволяють використовувати різні режими виконання:
Без параметра : Виконує перевірку середовища та обробляє інсталяцію та міграцію на ранніх етапах.
002 Re:0 : Скидає основні корисні навантаження, запускає майнер і входить у цикл моніторингу.
016 : Перезапускає майнер, якщо його робота завершилася.
barusu : Ініціює послідовність самознищення, завершуючи роботу компонентів шкідливого програмного забезпечення та видаляючи пов'язані з ними файли.
Такий структурований підхід до перемикання режимів підвищує стійкість та забезпечує стабільну гірничодобувну діяльність навіть за умови вжиття захисних заходів.
Вбудована логічна бомба та виведення з експлуатації за часом
Примітною характеристикою шкідливого програмного забезпечення є включення логічної бомби. Бінарний файл отримує місцевий час системи та порівнює його з жорстко запрограмованим терміном виконання – 23 грудня 2025 року.
- Якщо шкідливе програмне забезпечення буде виконано до 23 грудня 2025 року, воно продовжить встановлення та розгортання майнера.
- Якщо виконати після цієї дати, програма автоматично перезапуститься за допомогою параметра 'barusu', запускаючи контрольований процес самовиведення з експлуатації.
Попередньо визначений граничний термін свідчить про те, що кампанія мала продовжуватися безперервно до цієї дати. Кінцевий термін може відповідати закінчення терміну дії орендованої інфраструктури командування та управління, очікуваним змінам на ринку криптовалют або стратегічному переходу до наступного штаму шкідливого програмного забезпечення.
Ескалація привілеїв та оптимізація майнінгу через BYOVD
Під час стандартної процедури зараження бінарний файл, що функціонує як автономний носій, записує всі необхідні компоненти на диск. Серед них є легітимний виконуваний файл служби телеметрії Windows, який використовується для завантаження шкідливої DLL-бібліотеки майнера.
Також розгортаються механізми збереження, а також компоненти, призначені для вимкнення інструментів безпеки. Щоб забезпечити підвищені права на виконання, шкідливе програмне забезпечення використовує техніку використання власного вразливого драйвера (BYOVD) з використанням несправного драйвера «WinRing0x64.sys». Цей драйвер уражений CVE-2020-14979, вразливістю з оцінкою CVSS 7.8, яка дозволяє ескалацію привілеїв.
Інтегруючи цей експлойт безпосередньо в налаштований майнер XMRig, зловмисники отримують низькорівневий контроль над конфігураціями процесора. Ця оптимізація збільшує продуктивність майнінгу RandomX приблизно на 15-50%, значно покращуючи прибутковість.
Червоподібне поширення та бічний рух
На відміну від традиційних троянців, які залежать виключно від початкового виконання користувачем, цей варіант XMRig має функції агресивного поширення. Він активно поширюється через знімні пристрої зберігання даних, що дозволяє переміщення між системами, включаючи ті, що знаходяться в ізоляційних середовищах.
Ця червоподібна здатність перетворює шкідливе програмне забезпечення на самопоширювану загрозу, суттєво розширюючи його охоплення в мережах організації та збільшуючи масштаб ботнету.
Операційний графік та стратегічні наслідки
Судово-медичні дані вказують на періодичну гірничодобувну діяльність протягом листопада 2025 року, після якої спостерігався помітний сплеск, що почався 8 грудня 2025 року. Ця закономірність свідчить про поетапне розгортання або активацію стратегій, спрямованих на уникнення раннього виявлення.
Ця кампанія підкреслює постійну еволюцію шкідливого програмного забезпечення. Поєднуючи соціальну інженерію, імітацію легітимного програмного забезпечення, поширення у стилі черв'яків та експлуатацію на рівні ядра, зловмисники створили стійкий та високопродуктивний ботнет для криптоджекінгу, здатний до стабільного та оптимізованого майнінгу криптовалюти.
