Возрождение XMRig: новые методы скрытого майнинга Monero в 2023

В середине апреля 2023 года мир кибербезопасности столкнулся с заметным усилением активности вредоносного майнера XMRig, что связано с ростом стоимости криптовалюты Monero и серией громких краж биткоина. Специалисты зафиксировали целенаправленную кампанию, предположительно инициированную в США, где украденный биткоин конвертировался в Monero — а затем использовался для питания скрытых криптомайнинговых операций с помощью XMRig, популярного open-source-инструмента.

Технологический склад оружия преступников

Новый вариант XMRig отличается применением передовых техник, включающих:

• автономные двоичные файлы и скрипты (LOLBA) — Living off the Land Binaries and Scripts, позволяющие злоумышленникам использовать легитимные системные компоненты для маскировки вредоносных действий;
• законные инструменты Windows, например PowerShell, задействованные для загрузки и запуска кода с минимальным риском обнаружения;
• многоэтапный процесс заражения с использованием пакетных файлов (1.cmd и S2.bat) и модификаций системного реестра.

Механизм заражения

Ход атаки условно можно разделить на следующие этапы:

1. Запуск 1.cmd процессом с именем svchost.exe. Этот пакетный файл проверяет наличие маркерного файла для предотвращения повторных заражений, а также изменяет параметры реестра, чтобы исключить контроль со стороны Windows Defender.
2. Через PowerShell загружается и с повышенными привилегиями запускается S2.bat. Этот скрипт также проверяет заражения, отключает службу обновления Windows для сохранения контроля над системой и подключается к домену, замаскированному под легитимный сайт.
3. Загрузка и запуск вредоносного майнера XMRig. После запуска майнер устанавливает свою копию, обеспечивая сохраняемость через запись в реестре.
4. Удаление драйвера WinRing0 — легального компонента, предназначенного для повышения привилегий и модификации реестра, которые злонамеренно маскируются случайными именами файлов для обхода анализа.

Особенности нового варианта XMRig

Новый майнер обладает рядом характеристик, делающих его опасным и труднодетектируемым:

• Использование заметных путей к файлам и минимальное обфусцирование приводят к низкой «видимости» для традиционных антивирусных решений.
• Охват значительно шире, чем у прежних версий — атаке подвергаются многочисленные страны.
• Сосредоточенность на простых, но эффективных скриптовых методах, которые обходят большинство защитных механизмов, несмотря на отсутствие высокой технической сложности.

Рекомендации для защиты

В условиях роста эффективности подобных атак специалисты рекомендуют:

• Внедрять решения постоянного мониторинга, способные выявлять аномалии и подозрительное поведение, характерное для техник LOLBAS.
• Использовать эвристические и поведенческие методы обнаружения угроз, особо ориентированные на признаки майнинга и манипуляций с системными службами.
• Поддерживать актуальность антивирусных баз и реагировать на симптомы отключения системных сервисов.
• Укреплять управление привилегиями, ограничивая возможность запуска скриптов и изменений реестра.

В условиях возрастания угроз кибербезопасности в криптовалютной сфере профессионалы IT-безопасности и предприятиям крайне важно оставаться бдительными и неуклонно совершенствовать стратегии защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.