XMRig 加密劫持活動

經過廣泛調查，警方揭露了一起複雜的加密劫持活動，該活動利用盜版軟體捆綁包感染系統，植入客製化的 XMRig 挖礦程式。該行動大量運用社會工程手段，透過宣傳免費的高級應用程式（例如破解版的辦公室軟體套件）來誘騙用戶下載帶有木馬的安裝程式。

這些惡意可執行檔是主要的攻擊入口。一旦執行，它們就會啟動精心策劃的感染過程，旨在最大限度地提高加密貨幣挖礦產量，但往往會損害系統穩定性。這次攻擊活動對欺騙性分發策略的依賴，凸顯了軟體盜版作為惡意軟體傳播管道的持續有效性。

具有多種運作模式的模組化感染引擎

這次攻擊的核心是一個多功能二進位文件，它充當感染生命週期的指揮中心。此元件集安裝程式、監視程式、酬載管理器和清理工具於一體，負責部署、持久化、監控以及潛在的自我清除。

該惡意軟體採用模組化設計，將監控功能與負責挖礦、提權和持久化的核心有效載荷分開。透過特定的命令列參數啟用不同的執行模式，從而實現操作靈活性：

無參數：執行環境驗證並處理早期安裝和遷移。

002 Re:0 ：投放主要有效載荷，啟動挖礦程序，並進入監控循環。

016 ：如果礦機終止，則重新啟動礦機。

barusu ：啟動自毀程序，終止惡意軟體元件並刪除相關檔案。

這種結構化的模式切換方法增強了韌性，即使採取防禦措施也能確保持續的採礦活動。

嵌入式邏輯炸彈與定時拆除

該惡意軟體的一個顯著特徵是內建了邏輯炸彈。此二進位檔案會取得系統本地時間，並與預設的截止日期（2025年12月23日）進行比較。

• 如果在 2025 年 12 月 23 日之前執行，惡意軟體將繼續進行持久性安裝和挖礦程序部署。
• 如果在此日期之後執行，它將使用「barusu」參數自動重新啟動自身，從而觸發受控的自我停用程序。

預設的截止日期表明，此攻擊活動旨在持續進行至該日期。此截止日期可能對應於租用的指揮控制基礎設施的到期、預期的加密貨幣市場變化，或向後續惡意軟體株的策略性過渡。

透過 BYOVD 實現權限提升和挖礦優化

在標準的感染過程中，此二進位檔案作為一個獨立的載體，會將所有必要的元件寫入磁碟。其中包括一個合法的 Windows 遙測服務可執行文件，該文件會被濫用以側載惡意挖礦程式 DLL。

該惡意軟體還部署了持久化機制，以及旨在停用安全工具的元件。為了確保獲得提升的執行權限，它採用了一種自帶漏洞驅動程式 (BYOVD) 技術，使用有缺陷的驅動程式「WinRing0x64.sys」。此驅動程式受 CVE-2020-14979 漏洞影響，該漏洞的 CVSS 評分為 7.8，允許攻擊者提升權限。

透過將此漏洞直接整合到客製化的 XMRig 挖礦程式中，攻擊者可以獲得對 CPU 配置的底層控制權。這種優化可以將 RandomX 挖礦效能提升約 15% 至 50%，從而顯著提高獲利能力。

蠕蟲狀繁殖和橫向移動

與僅依賴使用者初始執行的傳統木馬不同，這種 XMRig 變種採用了積極的傳播方式。它可以透過可移動儲存設備主動傳播，從而能夠在系統間橫向移動，包括那些處於物理隔離環境中的系統。

這種蠕蟲般的能力將惡意軟體轉變為自我傳播的威脅，大大擴大了其在組織網路中的影響範圍，並增加了殭屍網路的規模。

行動時間表和戰略意義

法醫證據表明，2025 年 11 月期間採礦活動斷斷續續，隨後從 2025 年 12 月 8 日開始出現明顯的激增。這種模式表明，分階段部署或啟動策略旨在避免早期被發現。

這次攻擊活動凸顯了通用惡意軟體的持續演進。攻擊者結合了社會工程學、合法軟體偽裝、蠕蟲式傳播和內核級漏洞利用等手段，建構了一個持久且高性能的加密劫持殭屍網絡，能夠持續且優化地進行加密貨幣挖礦。