كشف باحثون في الأمن السيبراني تفاصيل حملة جديدة للتعدين الخفي للعملات الرقمية (Cryptojacking) تعتمد على حزم برامج مقرصنة كطُعم لنشر نسخة معدلة من برنامج XMRig على الأجهزة المستهدفة. التقرير الصادر عن Trellix أوضح أن الحملة تتسم بقدرات متعددة المراحل، تهدف إلى تحقيق أعلى معدل تعدين ممكن، حتى لو أدى ذلك إلى زعزعة استقرار النظام المصاب.
أسلوب الدخول والانتشار
يبدأ الهجوم عبر أساليب الهندسة الاجتماعية، حيث يتم الترويج لبرامج إنتاجية “مدفوعة” بشكل مجاني لكنها في الحقيقة محملة بملفات تنفيذية خبيثة. الملف الأساسي يعمل كجهاز تحكم مركزي، إذ يقوم بدور المثبت، المراقب، مدير الحمولة، وأداة تنظيف لإدارة دورة حياة الهجوم.
البرمجية تتميز بقدرات دودية، إذ تنتشر عبر وسائط التخزين الخارجية، مما يسمح لها بالتحرك جانبياً حتى في بيئات معزولة (Air-gapped).
القنبلة المنطقية الزمنية
يتضمن البرنامج قنبلة منطقية تعتمد على الوقت المحلي للجهاز:
- قبل 23 ديسمبر 2025: يتم تثبيت وحدات الاستمرارية وتشغيل المُعدّن.
- بعد هذا التاريخ: يتم تشغيل البرمجية مع معامل “barusu” الذي يؤدي إلى إنهاء جميع المكونات وحذف الملفات، في عملية “إيقاف مُتحكم بها”.
هذا التوقيت يشير إلى أن الحملة صُممت لتعمل لفترة محددة، ربما مرتبطة بانتهاء البنية التحتية للتحكم والسيطرة (C2) أو خطة للانتقال إلى نسخة جديدة من البرمجية.
استغلال ثغرة BYOVD
من أبرز تقنيات الحملة استخدام أسلوب Bring Your Own Vulnerable Driver (BYOVD) عبر ملف WinRing0x64.sys المصاب بثغرة CVE-2020-14979 (درجة CVSS: 7.8). هذه الثغرة تسمح بالتصعيد إلى صلاحيات أعلى، مما يمنح المُعدّن قدرة على التحكم في إعدادات المعالج على مستوى منخفض وزيادة معدل التعدين (RandomX hashrate) بنسبة تتراوح بين 15% و50%.
خصائص إضافية للحملة
- تصميم معياري يفصل بين وظائف المراقبة والحمولات الأساسية.
- أوامر تشغيل متعددة عبر سطر الأوامر للتحكم في السلوك (التثبيت، إعادة التشغيل، التدمير الذاتي).
- استخدام ملف خدمة شرعي من Windows Telemetry لتحميل مكتبة DLL الخاصة بالمُعدّن بشكل متخفي.
- نشاط التعدين رُصد بشكل متقطع في نوفمبر 2025، مع ارتفاع ملحوظ في 8 ديسمبر 2025.
دور الذكاء الاصطناعي في الهجمات الحديثة
إلى جانب هذه الحملة، رصدت Darktrace برمجية يُعتقد أنها طُورت باستخدام نموذج لغوي كبير (LLM)، تستغل ثغرة React2Shell (CVE-2025-55182) لتثبيت مُعدّن XMRig عبر أوامر shell. هذا يبرز كيف جعلت تقنيات الذكاء الاصطناعي الجرائم السيبرانية أكثر سهولة، حيث تمكن مهاجم واحد من توليد إطار استغلال كامل خلال جلسة واحدة مع النموذج.
أداة ILOVEPOOP واستهداف المؤسسات
كما ظهر استخدام أداة مسماة ILOVEPOOP لمسح الأنظمة المكشوفة المعرضة لثغرة React2Shell، مع تركيز خاص على قطاعات حكومية ودفاعية ومالية وصناعية في الولايات المتحدة. التحليل أشار إلى أن هناك فجوة بين مستوى تطوير الأداة (احترافي للغاية) وطريقة استخدامها (أخطاء تشغيلية بدائية)، مما يوحي بوجود فريقين مختلفين: أحدهما يطور الأداة والآخر ينفذ حملات المسح الواسعة.
