XMRig Coin Miner: Gli avversari impiegano nuovi approcci per il mining illegale di criptovalute

Con un numero crescente di operazioni criminali informatiche che perseguono l’installazione illecita di software per il crypto mining su dispositivi e sistemi delle vittime, aumentare la consapevolezza sul crypto-jacking è fondamentale. All’inizio di quest’estate, US-CERT ha rilasciato un rapporto di analisi di malware relativo a XMRig coin miner, dettagliando nuovi approcci per dirottare i dispositivi delle vittime e sfruttarli per il crypto mining.

CISA ha messo in luce i dropper per il crypto mining usati per distribuire XMRig senza autorizzazione.

Rilevamento Malware XMRig Cryptominer

Utilizzare il seguente kit di regole rilasciato dai nostri sviluppatori esperti del programma Threat Bounty Nattatorn Chuensangarun and Onur Atali per rilevare attività non autorizzate associate al malware XMRig crypto miner nel tuo ambiente:

Identifica la presenza di XMRig Coin Miner

Gli esperti di cybersecurity sfruttano il Programma Threat Bounty per raggiungere nuovi traguardi di carriera. Unisciti a Threat Bounty per condividere la nostra dedizione alla cooperazione nel raggiungimento di elevati standard nei processi di cybersecurity.

I rilevamenti sono disponibili per oltre 26 piattaforme SIEM, EDR & XDR, allineate con il quadro MITRE ATT&CK® v.10. Per ulteriori contenuti di rilevamento, premi il pulsante Detect & Hunt qui sotto. Se sei nuovo sulla piattaforma, sfoglia una vasta collezione di regole Sigma con contesto di minacce rilevanti, riferimenti CTI e MITRE ATT&CK, descrizioni CVE, e ricevi aggiornamenti sui trend di threat hunting premendo il pulsante Explore Threat Context . Non è richiesta la registrazione!

pulsante Detect & Hunt pulsante Explore Threat Context

Descrizione della Campagna Basata su XMRig

L’XMRig CPU Miner è uno strumento popolare per il mining di criptovalute. Ma il software non è popolare solo per le operazioni legittime. Gli avversari spesso abusano di XMRig per il crypto mining su computer compromessi. Gli attacchi di crypto-jacking sono spesso effettuati usando un trojan.

Un recente strumento di accesso remoto (RAT) studiato utilizzato come dropper per il crypto mining fornisce agli attori delle minacce un ampio ventaglio di capacità C2, si legge nell’analisi pubblicata da CISA. Il ceppo è un loader Windows a 64 bit che contiene un eseguibile malevolo criptato. Una volta che gli attaccanti ottengono la persistenza in una rete compromessa, procedono con il loro obiettivo principale, che è eseguire l’XMRig CoinMiner. Inoltre, gli operatori di malware terminano le attività antivirus, ottengono l’accesso tramite shell inversa e si muovono lateralmente attraverso la rete.

Gli avversari cooptano rapidamente le falle di sicurezza appena divulgate nelle loro attività illecite di mining di criptovalute. Per evitare impatti indesiderati, resta aggiornato sul threat hunting con soluzioni scalabili fornite dalla piattaforma Detection as Code di SOC Prime.