蠕蟲式XMRig挖礦活動使用BYOVD漏洞利用和基于時間的邏輯炸彈

網(wǎng)絡安全研究人員披露了一項新的加密貨幣挖礦攻擊活動的詳細信息，該攻擊活動利用盜版軟件包作為誘餌，在受感染的主機上部署定制的XMRig挖礦程序。

"對回收的投放器、持久化觸發(fā)器和挖礦載荷的分析表明，這是一個復雜的多階段感染，優(yōu)先考慮最大化加密貨幣挖礦哈希率，經(jīng)常會破壞受害者系統(tǒng)的穩(wěn)定性，"Trellix研究員Aswath A在上周發(fā)布的技術報告中表示。

"此外，該惡意軟件表現(xiàn)出類似蠕蟲的能力，能夠通過外部存儲設備傳播，即使在物理隔離的環(huán)境中也能實現(xiàn)橫向移動。"

攻擊的入口點是使用社會工程誘餌，以盜版軟件包的形式宣傳免費高級軟件，如辦公生產(chǎn)力套件的安裝程序，誘騙毫無戒心的用戶下載惡意軟件感染的可執(zhí)行文件。

該二進制文件充當感染的中央神經(jīng)系統(tǒng)，扮演安裝程序、監(jiān)控程序、載荷管理器和清理程序等不同角色，監(jiān)督攻擊生命周期的不同方面。它采用模塊化設計，將監(jiān)控功能與負責加密貨幣挖礦、權限提升和在終止時保持持久性的核心載荷分離。

這種靈活性或模式切換是通過命令行參數(shù)實現(xiàn)的：

無參數(shù)用于早期安裝階段的環(huán)境驗證和遷移。

002 Re:0，用于投放主載荷、啟動挖礦程序并進入監(jiān)控循環(huán)。

016，用于在挖礦進程被終止時重啟它。

barusu，用于通過終止所有惡意軟件組件和刪除文件來啟動自毀序列。

惡意軟件中存在一個邏輯炸彈，通過獲取本地系統(tǒng)時間并與預定義時間戳進行比較來運作：

如果時間早于2025年12月23日，惡意軟件會繼續(xù)安裝持久化模塊并啟動挖礦程序。

如果時間晚于2025年12月23日，二進制文件會以"barusu"參數(shù)啟動，導致感染的"受控停用"。

2025年12月23日的硬性截止日期表明該活動被設計為在受感染系統(tǒng)上無限期運行，Trellix表示，這個日期可能意味著租用的命令控制基礎設施到期、預測的加密貨幣市場變化，或計劃轉(zhuǎn)向新的惡意軟件變種。

在標準感染例程的情況下，二進制文件作為所有惡意載荷的"自包含載體"，將不同組件寫入磁盤，包括用于旁加載挖礦DLL的合法Windows遙測服務可執(zhí)行文件。

還投放了確保持久性、終止安全工具的文件，并通過使用合法但有缺陷的驅(qū)動程序("WinRing0x64.sys")作為稱為自帶易受攻擊驅(qū)動程序(BYOVD)技術的一部分，以提升權限執(zhí)行挖礦程序。該驅(qū)動程序容易受到CVE-2020-14979漏洞(CVSS評分：7.8)的攻擊，允許權限提升。

將此漏洞利用集成到XMRig挖礦程序中是為了更好地控制CPU的底層配置，并將挖礦性能(即RandomX哈希率)提升15%到50%。

"這個XMRig變種的一個顯著特征是其激進的傳播能力，"Trellix說。"它不僅僅依賴用戶下載投放器；它積極嘗試通過可移動媒體傳播到其他系統(tǒng)。這將惡意軟件從簡單的木馬轉(zhuǎn)變?yōu)槿湎x。"

證據(jù)顯示，挖礦活動在2025年11月期間零星發(fā)生，然后在2025年12月8日激增。

"這項活動有力地提醒我們，商品惡意軟件繼續(xù)在創(chuàng)新，"該網(wǎng)絡安全公司總結(jié)道。"通過將社會工程、合法軟件偽裝、類似蠕蟲的傳播和內(nèi)核級漏洞利用串聯(lián)起來，攻擊者創(chuàng)建了一個具有韌性和高效率的僵尸網(wǎng)絡。"

在此披露的同時，Darktrace表示它識別出一個可能使用大語言模型生成的惡意軟件樣本，該樣本利用React2Shell漏洞(CVE-2025-55182，CVSS評分：10.0)下載Python工具包，利用訪問權限通過運行shell命令投放XMRig挖礦程序。

"雖然攻擊者在這種情況下產(chǎn)生的資金相對較少，而加密挖礦遠非新技術，但這項活動證明了基于AI的大語言模型使網(wǎng)絡犯罪比以往任何時候都更容易獲取，"研究員Nathaniel Bill和Nathaniel Jones說。

"與模型的一次提示會話就足以讓這個攻擊者生成一個功能性的漏洞利用框架并攻擊超過九十臺主機，表明AI對對手的操作價值不應被低估。"

根據(jù)WhoisXML API的報告，攻擊者還在使用一個名為ILOVEPOOP的工具包掃描仍然易受React2Shell攻擊的暴露系統(tǒng)，可能是為了為未來攻擊奠定基礎。探測活動特別針對美國的政府、國防、金融和工業(yè)組織。

"ILOVEPOOP的不尋常之處在于它的構建方式與使用方式之間的不匹配，"WhoisXML API產(chǎn)品副總裁Alex Ronquillo說。"代碼本身反映了對React Server Components內(nèi)部的專家級知識，并采用了在任何其他記錄的React2Shell工具包中都沒有發(fā)現(xiàn)的攻擊技術。"

"但部署它的人在與WhoisXML API的蜜罐監(jiān)控系統(tǒng)交互時犯了基本的操作錯誤——這些錯誤是經(jīng)驗豐富的攻擊者通常會避免的。實際上，這種差距指向勞動分工。"

"我們可能正在看兩個不同的組織：一個構建工具，一個使用工具。我們在國家支持的行動中看到了這種模式——一個有能力的團隊開發(fā)工具，然后將其交給運行大規(guī)模掃描活動的操作員。操作員不需要理解工具的工作原理——他們只需要運行它。"

Q&A

Q1：XMRig是什么？這次攻擊是如何傳播的？

A：XMRig是一個加密貨幣挖礦程序。這次攻擊通過盜版軟件包作為誘餌，誘騙用戶下載惡意可執(zhí)行文件，并具有蠕蟲般的傳播能力，可以通過外部存儲設備在系統(tǒng)間傳播，甚至能在物理隔離的環(huán)境中橫向移動。

Q2：BYOVD技術是什么？如何提升挖礦性能？

A：BYOVD（自帶易受攻擊驅(qū)動程序）是一種利用合法但有漏洞的驅(qū)動程序來提升權限的技術。攻擊者使用WinRing0x64.sys驅(qū)動程序的CVE-2020-14979漏洞，更好地控制CPU底層配置，將RandomX哈希率提升15%到50%。

Q3：邏輯炸彈設置的截止時間是什么時候？有什么作用？

A：邏輯炸彈設置的截止時間是2025年12月23日。在此日期之前，惡意軟件會正常運行并啟動挖礦程序；超過此日期后，會自動啟動自毀序列，終止所有惡意組件并刪除文件，實現(xiàn)"受控停用"。