Wormable XMRig 캠페인, BYOVD Exploit 및 Time-Based Logic Bomb 사용

Source: The Hacker News

캠페인 개요

사이버 보안 연구원들은 불법 복제 소프트웨어 번들을 미끼로 사용하여 감염된 호스트에 맞춤형 XMRig 채굴 프로그램을 배포하는 새로운 크립토재킹 캠페인의 세부 정보를 공개했습니다.

“복구된 드롭퍼, 지속성 트리거 및 채굴 페이로드 분석 결과, 최대 암호화폐 채굴 해시레이트를 우선시하는 정교하고 다단계 감염이 밝혀졌으며, 이는 종종 피해 시스템을 불안정하게 만들곤 합니다,” 라고 Trellix 연구원 Aswath A가 지난 주 발표된 기술 보고서에서 말했습니다.
— Trellix technical report

“게다가, 이 악성코드는 웜과 같은 기능을 보여 외부 저장 장치를 통해 퍼지며, 에어갭 환경에서도 횡방향 이동을 가능하게 합니다.”

공격의 진입점은 불법 복제 번들 형태(예: 오피스 생산성 제품군 설치 프로그램)로 무료 프리미엄 소프트웨어를 광고하는 사회공학적 미끼이며, 이를 통해 무심코 사용자를 속여 악성코드가 포함된 실행 파일을 다운로드하도록 유도합니다.

이 바이너리는 감염의 중추 신경계 역할을 하며, 다양한 역할을 수행합니다:

• 설치 프로그램
• 감시자
• 페이로드 관리자
• 정리 프로그램

이 바이너리는 모듈식 설계를 채택하여, 모니터링 기능을 암호화폐 채굴, 권한 상승 및 지속성을 담당하는 핵심 페이로드와 분리합니다(종료될 경우 지속성을 유지).

Source: …

모드 전환

모드 전환은 명령줄 인수를 통해 수행됩니다:

로직 폭탄은 로컬 시스템 시간을 사전 정의된 타임스탬프와 비교합니다:

• 2025년 12월 23일 이전 – 악성코드가 지속성 모듈을 설치하고 채굴기를 실행합니다.
• 2025년 12월 23일 이후 – 바이너리가 barusu 인수와 함께 실행되어 감염을 “제어된 폐기” 상태로 만듭니다.

2025년 12월 23일이라는 엄격한 마감일은 캠페인이 감염된 시스템에서 무기한 실행될 의도였음을 시사합니다. 이 날짜는 임대된 명령‑및‑제어(C2) 인프라의 만료, 암호화폐 시장의 예상 변동, 혹은 새로운 악성코드 변종으로의 계획된 이전을 의미할 수 있다고 Trellix는 말했습니다.

Source:

파일 인벤토리

캡션 – 전체 파일 인벤토리

표준 감염 루틴에서 바이너리(모든 악성 페이로드를 포함하는 “자체 포함 캐리어”)는 구성 요소를 디스크에 기록하는데, 여기에는 채굴기 DLL을 사이드로드하는 데 사용되는 정식 Windows Telemetry 서비스 실행 파일도 포함됩니다.

추가로 떨어지는 파일:

• 지속성 메커니즘
• 보안 제품을 종료시키는 도구
• 정식이지만 취약한 드라이버 WinRing0x64.sys ( BYOVD(Bring Your Own Vulnerable Driver) 기법에 사용)

이 드라이버는 CVE‑2020‑14979(CVSS 7.8)에 취약하여 권한 상승을 가능하게 합니다. 이 익스플로잇을 XMRig 채굴기에 통합하면 공격자는 CPU의 저수준 설정을 더 많이 제어할 수 있게 되며, RandomX 해시레이트가 15 %–50 % 상승합니다.

“이 XMRig 변종의 특징적인 요소는 공격적인 전파 능력입니다,” 라고 Trellix는 말했습니다. “드롭퍼를 사용자가 다운로드하는 것에만 의존하지 않고, 이동식 미디어를 통해 다른 시스템으로 적극적으로 퍼지려 합니다. 이는 악성코드를 단순 트로이목마에서 웜으로 변모시킵니다.”

증거에 따르면 2025년 11월 내내 채굴 활동이 있었으며, 2025년 12월 8일에 급증한 바 있습니다.

“이 캠페인은 일반적인 악성코드도 계속해서 혁신하고 있다는 강력한 경고입니다,” 라고 사이버 보안 기업은 결론지었습니다. “사회공학, 정식 소프트웨어 위장, 웜과 같은 전파, 그리고 커널 수준의 악용을 연결함으로써, 공격자는 탄력적이고 매우 효율적인 봇넷을 구축했습니다.”