蠕虫式XMRig挖矿活动利用BYOVD漏洞和时间逻辑炸弹
蠕虫式XMRig挖矿活动利用BYOVD漏洞和时间逻辑炸弹作者:James Bentley
来源:Internet
引用:https://thehackernews.com/2026/02/wormable-xmrig-campaign-uses-byovd.html
网络安全研究人员揭示了利用盗版软件捆绑包作为诱饵,在受感染主机上部署定制XMRig挖矿程序的加密货币挖矿活动详情。
Trellix的研究员Aswath A在上周发布的一份技术报告中表示:“对恢复的释放器、持久化触发器和挖矿有效载荷的分析显示,这是一次复杂的、多阶段的感染,优先考虑最大的加密货币挖矿哈希率,常常使受害系统不稳定。”
“此外,该恶意软件表现出蠕虫般的特性,通过外部存储设备传播,即使在隔离环境中也能实现横向移动。”
攻击的入口点是使用社会工程学诱饵,以盗版软件捆绑包的形式宣传免费高级软件,例如办公生产力套件的安装程序,以欺骗不明真相的用户下载恶意软件感染的可执行文件。
该二进制文件充当感染的中央神经系统,根据攻击生命周期的不同阶段扮演不同的角色,如安装程序、看门狗、有效载荷管理器和清理器,以监督攻击的不同方面。它具有模块化设计,将监控功能与负责加密货币挖矿、权限提升和持久性的核心有效载荷分开。
这种灵活性或模式切换是通过命令行参数实现的:
没有参数,用于在早期安装阶段进行环境验证和迁移。
002 Re:0,用于释放主要有效载荷,启动挖矿程序并进入监控循环。
016,用于在挖矿程序被终止时重启挖矿进程。
barusu,用于通过终止所有恶意软件组件和删除文件来启动自毁序列。
恶意软件中包含一个逻辑炸弹,通过检索本地系统时间并将其与预定义的时间戳进行比较来操作:
如果是在2025年12月23日之前,恶意软件将继续安装持久化模块并启动挖矿程序。
如果是在2025年12月23日之后,二进制文件将带有“barusu”参数启动,导致感染的“控制退役”。
2025年12月23日的硬性截止日期表明,该活动旨在在受感染系统上无限期运行,Trellix表示,这个日期可能标志着租用的命令和控制(C2)基础设施的到期、加密货币市场的预期转变,或者计划转向新的恶意软件变体。
在标准感染过程中,该二进制文件(作为所有恶意有效载荷的“自包含载体”)将不同的组件写入磁盘,包括用于侧加载挖矿DLL的合法Windows遥测服务可执行文件。
还包括确保持久性、终止安全工具和以提升权限执行挖矿程序的文件,使用的是合法但存在缺陷的驱动程序(“WinRing0x64.sys”),作为称为“自带易受攻击的驱动程序”(BYOVD)的技术的一部分。该驱动程序易受跟踪为CVE-2020-14979(CVSS评分:7.8)的漏洞的影响,该漏洞允许权限提升。
将此漏洞集成到XMRig挖矿程序中是为了更好地控制CPU的低级配置,并通过提高随机X哈希率(即挖矿性能)15%至50%。
Trellix表示:“XMRig变体的一个显著特点是其积极的传播能力。它不仅依赖于用户下载释放器;它还积极尝试通过可移动媒体传播到其他系统。这使得恶意软件从简单的特洛伊木马转变为蠕虫。”
证据显示,挖矿活动在2025年11月发生,尽管是间歇性的,但在2025年12月8日急剧增加。
“这次活动是一个强有力的提醒,即通用恶意软件仍在不断创新。通过将社会工程学、合法软件伪装、蠕虫般的传播和内核级利用相结合,攻击者创建了一个弹性高效率的僵尸网络。”网络安全公司总结道。
Darktrace表示,它已经确定了一个可能使用大型语言模型(LLM)生成的恶意软件工件,该模型利用React2Shell漏洞(CVE-2025-55182,CVSS评分:10.0)下载Python工具包,该工具包利用对React服务组件内部访问权限来通过运行shell命令投放XMRig挖矿程序。
研究人员Nathaniel Bill和Nathaniel Jones表示:“尽管在这个案例中攻击者赚取的金额相对较低,并且加密货币挖矿远非新技术,但这次活动证明了基于AI的LLM使网络犯罪比以往任何时候都更容易。”
“与模型的单次提示会话就足以让攻击者生成一个功能性的利用框架并感染超过九十台主机,这表明AI在对手中的操作价值不应被低估。”
据WhoisXML API称,攻击者还使用了一个名为ILOVEPOOP的工具包来扫描仍易受React2Shell攻击的暴露系统,这可能是在为未来的攻击奠定基础。这种探测活动特别针对美国政府、国防、金融和工业组织。
WhoisXML API的产品副总裁Alex Ronquillo表示:“ILOVEPOOP的不同寻常之处在于其构建方式与其使用方式之间的不匹配。代码本身反映了React服务器组件内部的专业知识,并采用了在其他任何记录的React2Shell工具包中找不到的攻击技术。”
“但部署它的人在与WhoisXML API的诱饵监控系统互动时犯了基本的操作错误——一个复杂的攻击者通常都会避免这些错误。从实际角度来看,这种差距表明了劳动分工。”
“我们可能正在观察两个不同的组:一个构建工具,另一个使用它。我们在国家支持的操作中看到这种模式——一个有能力的团队开发工具,然后将它转交给运行大规模扫描活动的操作员。操作员不需要了解工具的工作原理——他们只需要运行它。”
页:
[1]