XMRig Coin Miner: Adversaries Employ New Approaches to Illegal Crypto Mining
Inhaltsverzeichnis:
Mit einer steigenden Anzahl von Cyberkriminalitätsoperationen, die die illegale Installation von Kryptomining-Software auf den Geräten und Systemen von Opfern verfolgen, ist ein wachsendes Bewusstsein für Krypto-Jacking von größter Bedeutung. Früher im Sommer veröffentlichte US-CERT einen Malware-Analysebericht in Bezug auf den XMRig-Coin-Miner, der neue Ansätze zum Hijacken von Geräten der Opfer und deren Nutzung für das Kryptomining detailliert.
CISA rückte Kryptomining-Dropper ins Rampenlicht, die unaufgefordert XMRig bereitstellen.
Erkennung von XMRig Kryptominer-Malware
Nutzen Sie das folgende Regelset, das von unseren engagierten Threat Bounty-Entwicklern Nattatorn Chuensangarun and Onur Atali veröffentlicht wurde, um unaufgeforderte Aktivitäten im Zusammenhang mit der XMRig-Kryptominer-Malware in Ihrer Umgebung zu erkennen:
Erkennen Sie die Präsenz des XMRig-Coin-Miners
Experten in der Cybersicherheit nutzen das Threat Bounty-Programm um neue Karrierehorizonte zu erreichen. Treten Sie Threat Bounty bei, um unser Engagement zur Kooperation bei der Erreichung hoher Standards in den Cybersicherheitsprozessen zu teilen.
Die Erkennungen sind verfügbar für die 26+ SIEM-, EDR- und XDR-Plattformen, die mit dem MITRE ATT&CK® Framework v.10 ausgerichtet sind. Für mehr Erkennungsinhalte drücken Sie bitte den Detect & Hunt Button unten. Wenn Sie neu auf der Plattform sind, durchstöbern Sie eine umfangreiche Sammlung von Sigma-Regeln mit relevanten Bedrohungskontexten, CTI- und MITRE-ATT&CK-Referenzen, CVE-Beschreibungen, und erhalten Sie Updates zu Bedrohungsjagdtrends, indem Sie den Threat Context erkunden Button drücken. Keine Registrierung erforderlich!
Detect & Hunt Threat Context erkunden
Beschreibung der XMRig-basierten Kampagne
Der XMRig-CPU-Miner ist ein beliebtes Werkzeug für das Kryptowährungs-Mining. Doch die Software ist nicht nur für legale Operationen beliebt. Gegner missbrauchen XMRig häufig für das Kryptomining auf kompromittierten Computern. Kryptojacking-Angriffe werden oft mit einem Trojaner durchgeführt.
Ein kürzlich untersuchtes Remote-Access-Tool (RAT), das als Kryptomining-Dropper genutzt wird, bietet Bedrohungsakteuren eine Vielzahl von C2-Fähigkeiten, heißt es in der Analyse veröffentlicht von CISA. Der Stamm ist ein 64-Bit-Windows-Loader, der eine verschlüsselte bösartige ausführbare Datei enthält. Sobald die Angreifer Persistenz innerhalb eines kompromittierten Netzwerks erreichen, fahren sie mit ihrem Hauptziel fort, nämlich der Ausführung des XMRig-CoinMiners. Zusätzlich beenden Malware-Operatoren Antivirus-Aufgaben, erlangen Zugang zu einer Reverse-Shell und bewegen sich lateral durch das Netzwerk.
Gegner übernehmen schnell neu offengelegte Schwachstellen in ihre illegalen Kryptowährungs-Mining-Aktivitäten. Um unerwünschte Auswirkungen zu vermeiden, bleiben Sie auf dem neuesten Stand der Bedrohungsjagd mit skalierbaren Lösungen, die von der Detection-as-Code-Plattform von SOC Prime.
