可蠕虫化 XMRig 活动使用 BYOVD 漏洞利用和基于时间的逻辑炸弹
Source: The Hacker News
请提供您希望翻译的具体文本内容,我将为您翻译成简体中文。
活动概述
网络安全研究人员披露了一场新型加密劫持(cryptojacking)活动的细节,该活动利用盗版软件包作为诱饵,在受感染的主机上部署定制的 XMRig 挖矿程序。
“对恢复的投放器、持久化触发器和挖矿载荷的分析显示,这是一种复杂的多阶段感染,优先追求最大化加密货币挖矿算力,往往会导致受害系统不稳定,”Trellix 研究员 Aswath A 在上周发布的技术报告中如此指出。
— Trellix technical report
“此外,恶意软件表现出类似蠕虫的能力,能够在外部存储设备之间传播,即使在空气隔离的环境中也能实现横向移动。”
攻击的入口是社交工程诱饵,这些诱饵以免费高级软件的形式宣传盗版软件包(例如办公套件的安装程序),诱使毫无防备的用户下载携带恶意代码的可执行文件。
该二进制文件充当感染的中枢神经系统,承担多种角色:
- 安装程序
- 看门狗
- 载荷管理器
- 清理程序
它采用模块化设计,将监控功能与负责加密货币挖矿、权限提升以及持久化(在被终止时)的核心载荷分离。
模式切换
模式切换 通过命令行参数实现:
| 参数 | 功能 |
|---|---|
| (无) | 在早期安装阶段进行环境验证和迁移 |
002 | 投放主要负载,启动矿工,并进入监控循环 |
016 | 如果矿工进程被终止,则重新启动 |
barusu | 启动自毁序列(终止所有恶意软件组件并删除文件) |
一个 逻辑炸弹 检查本地系统时间是否匹配预定义的时间戳:
- 2025年12月23日之前 – 恶意软件安装持久化模块并启动矿工。
- 2025年12月23日之后 – 使用
barusu参数启动二进制文件,导致对感染进行“受控退役”。
2025年12月23日的硬性截止日期表明该活动原本打算在受感染系统上无限期运行。该日期可能标志着租用的指挥控制(C2)基础设施到期、加密货币市场的预测性变化,或是计划迁移到新恶意软件变体,Trellix 说。
文件清单
说明 – 整体文件清单
在标准感染流程中,二进制文件(所有恶意载荷的“自包含载体”)会将组件写入磁盘,其中包括一个合法的 Windows Telemetry 服务可执行文件,用于 侧加载矿工 DLL。
额外投放的文件:
- 持久化机制
- 用于终止安全产品的工具
- 一个合法但存在漏洞的驱动 WinRing0x64.sys(在 自带易受攻击驱动 (BYOVD) 技术中使用)
该驱动存在 CVE‑2020‑14979(CVSS 7.8)漏洞,可实现特权提升。将此漏洞集成到 XMRig 矿工中,使攻击者能够更好地控制 CPU 的底层配置,将 RandomX 哈希率提升 15 %–50 %。
“该 XMRig 变种的一个显著特征是其激进的传播能力,” Trellix 表示。 “它并不只依赖用户下载投放器;它会主动尝试通过可移动介质向其他系统扩散。这使得恶意软件从单纯的木马转变为蠕虫。”
证据显示 2025 年 11 月 整个月都有挖矿活动,并在 2025 年 12 月 8 日 出现峰值。
“此活动再次提醒我们,通用恶意软件仍在不断创新,” 该网络安全公司总结道。 “攻击者通过将社会工程、合法软件伪装、蠕虫式传播和内核级利用相结合,构建了一个具有韧性且高效的僵尸网络。”
