蠕虫式XMRig挖矿活动使用BYOVD漏洞利用和基于时间的逻辑炸弹

网络安全研究人员披露了一项新的加密货币挖矿攻击活动的详细信息，该攻击活动利用盗版软件包作为诱饵，在受感染的主机上部署定制的XMRig挖矿程序。

"对回收的投放器、持久化触发器和挖矿载荷的分析表明，这是一个复杂的多阶段感染，优先考虑最大化加密货币挖矿哈希率，经常会破坏受害者系统的稳定性，"Trellix研究员Aswath A在上周发布的技术报告中表示。

"此外，该恶意软件表现出类似蠕虫的能力，能够通过外部存储设备传播，即使在物理隔离的环境中也能实现横向移动。"

攻击的入口点是使用社会工程诱饵，以盗版软件包的形式宣传免费高级软件，如办公生产力套件的安装程序，诱骗毫无戒心的用户下载恶意软件感染的可执行文件。

该二进制文件充当感染的中央神经系统，扮演安装程序、监控程序、载荷管理器和清理程序等不同角色，监督攻击生命周期的不同方面。它采用模块化设计，将监控功能与负责加密货币挖矿、权限提升和在终止时保持持久性的核心载荷分离。

这种灵活性或模式切换是通过命令行参数实现的：

无参数用于早期安装阶段的环境验证和迁移。

002 Re:0，用于投放主载荷、启动挖矿程序并进入监控循环。

016，用于在挖矿进程被终止时重启它。

barusu，用于通过终止所有恶意软件组件和删除文件来启动自毁序列。

恶意软件中存在一个逻辑炸弹，通过获取本地系统时间并与预定义时间戳进行比较来运作：

如果时间早于2025年12月23日，恶意软件会继续安装持久化模块并启动挖矿程序。

如果时间晚于2025年12月23日，二进制文件会以"barusu"参数启动，导致感染的"受控停用"。

2025年12月23日的硬性截止日期表明该活动被设计为在受感染系统上无限期运行，Trellix表示，这个日期可能意味着租用的命令控制基础设施到期、预测的加密货币市场变化，或计划转向新的恶意软件变种。

在标准感染例程的情况下，二进制文件作为所有恶意载荷的"自包含载体"，将不同组件写入磁盘，包括用于旁加载挖矿DLL的合法Windows遥测服务可执行文件。

还投放了确保持久性、终止安全工具的文件，并通过使用合法但有缺陷的驱动程序("WinRing0x64.sys")作为称为自带易受攻击驱动程序(BYOVD)技术的一部分，以提升权限执行挖矿程序。该驱动程序容易受到CVE-2020-14979漏洞(CVSS评分：7.8)的攻击，允许权限提升。

将此漏洞利用集成到XMRig挖矿程序中是为了更好地控制CPU的底层配置，并将挖矿性能(即RandomX哈希率)提升15%到50%。

"这个XMRig变种的一个显著特征是其激进的传播能力，"Trellix说。"它不仅仅依赖用户下载投放器；它积极尝试通过可移动媒体传播到其他系统。这将恶意软件从简单的木马转变为蠕虫。"

证据显示，挖矿活动在2025年11月期间零星发生，然后在2025年12月8日激增。

"这项活动有力地提醒我们，商品恶意软件继续在创新，"该网络安全公司总结道。"通过将社会工程、合法软件伪装、类似蠕虫的传播和内核级漏洞利用串联起来，攻击者创建了一个具有韧性和高效率的僵尸网络。"

在此披露的同时，Darktrace表示它识别出一个可能使用大语言模型生成的恶意软件样本，该样本利用React2Shell漏洞(CVE-2025-55182，CVSS评分：10.0)下载Python工具包，利用访问权限通过运行shell命令投放XMRig挖矿程序。

"虽然攻击者在这种情况下产生的资金相对较少，而加密挖矿远非新技术，但这项活动证明了基于AI的大语言模型使网络犯罪比以往任何时候都更容易获取，"研究员Nathaniel Bill和Nathaniel Jones说。

"与模型的一次提示会话就足以让这个攻击者生成一个功能性的漏洞利用框架并攻击超过九十台主机，表明AI对对手的操作价值不应被低估。"

根据WhoisXML API的报告，攻击者还在使用一个名为ILOVEPOOP的工具包扫描仍然易受React2Shell攻击的暴露系统，可能是为了为未来攻击奠定基础。探测活动特别针对美国的政府、国防、金融和工业组织。

"ILOVEPOOP的不寻常之处在于它的构建方式与使用方式之间的不匹配，"WhoisXML API产品副总裁Alex Ronquillo说。"代码本身反映了对React Server Components内部的专家级知识，并采用了在任何其他记录的React2Shell工具包中都没有发现的攻击技术。"

"但部署它的人在与WhoisXML API的蜜罐监控系统交互时犯了基本的操作错误——这些错误是经验丰富的攻击者通常会避免的。实际上，这种差距指向劳动分工。"

"我们可能正在看两个不同的组织：一个构建工具，一个使用工具。我们在国家支持的行动中看到了这种模式——一个有能力的团队开发工具，然后将其交给运行大规模扫描活动的操作员。操作员不需要理解工具的工作原理——他们只需要运行它。"

Q&A

Q1：XMRig是什么？这次攻击是如何传播的？

A：XMRig是一个加密货币挖矿程序。这次攻击通过盗版软件包作为诱饵，诱骗用户下载恶意可执行文件，并具有蠕虫般的传播能力，可以通过外部存储设备在系统间传播，甚至能在物理隔离的环境中横向移动。

Q2：BYOVD技术是什么？如何提升挖矿性能？

A：BYOVD（自带易受攻击驱动程序）是一种利用合法但有漏洞的驱动程序来提升权限的技术。攻击者使用WinRing0x64.sys驱动程序的CVE-2020-14979漏洞，更好地控制CPU底层配置，将RandomX哈希率提升15%到50%。

Q3：逻辑炸弹设置的截止时间是什么时候？有什么作用？

A：逻辑炸弹设置的截止时间是2025年12月23日。在此日期之前，恶意软件会正常运行并启动挖矿程序；超过此日期后，会自动启动自毁序列，终止所有恶意组件并删除文件，实现"受控停用"。