XMRig Madencisi BYOVD Açığını İstismar Ederek Solucan Benzeri Yayılım Gösteriyor

Anasayfa » XMRig Madencisi BYOVD Açığını İstismar Ederek Solucan Benzeri Yayılım Gösteriyor
APT, Kripto Madenciliği, Zafiyetler
Şubat 26, 2026Şubat 26, 2026Tarafından Cybernews.TR
0
XMRig Madencisi BYOVD Açığını İstismar Ederek Solucan Benzeri Yayılım Gösteriyor

Son dönemde tespit edilen bir kötü amaçlı yazılım kampanyası, XMRig madencisini BYOVD açığını kullanarak sistemlere yerleştiriyor ve solucan benzeri yayılma özellikleri sergiliyor. Bu saldırı, sosyal mühendislik temelli sahte ofis yazılımı kurucuları aracılığıyla kullanıcıları kötü amaçlı yürütülebilir dosyaları indirmeye ikna ediyor. Enfeksiyon, modüler yapısı sayesinde farklı roller üstlenerek kurucu, bekçi, yük yöneticisi ve temizleyici işlevlerini yerine getiriyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanya, CVE-2020-14979 zafiyetini içeren WinRing0x64.sys sürücüsünü kullanarak ayrıcalık yükseltme gerçekleştiriyor. Bu BYOVD tekniği, madencinin CPU üzerinde daha derin kontrol sağlamasına ve RandomX algoritmasıyla madencilik performansını %15-50 artırmasına olanak tanıyor. Kötü amaçlı yazılım, yerel sistem saatini kontrol eden ve 23 Aralık 2025 tarihinden sonra kendini imha eden zaman bazlı bir mantık bombası içeriyor. Bu sayede enfeksiyon, belirlenen tarihe kadar kalıcılık sağlıyor ve ardından kontrollü şekilde tasfiye ediliyor.

Solucan benzeri yayılma kabiliyeti, çıkarılabilir medya aygıtları üzerinden diğer sistemlere bulaşmayı mümkün kılıyor. Bu özellik, saldırının sadece kullanıcıların dropper dosyasını indirmesine bağlı kalmayıp, hava boşluklu (air-gapped) ağlarda bile yayılmasını sağlıyor. Ayrıca, kötü amaçlı yazılım Windows Telemetry hizmeti gibi meşru dosyaları yan yükleyerek tespit edilme riskini azaltıyor.

Hedefler ve Etki Alanı

Bu kampanya, özellikle ABD’deki hükümet, savunma, finans ve endüstri sektörlerini hedef alıyor. React2Shell açığını (CVE-2025-55182) kullanan Python tabanlı araç seti, saldırganların sistemlere uzaktan komut çalıştırmasına imkan tanıyor. WhoisXML API verilerine göre, ILOVEPOOP adlı araç seti ile savunmasız sistemler taranıyor ve potansiyel hedefler belirleniyor. Bu durum, saldırganların gelecekteki operasyonlar için altyapı hazırlığı yaptığını gösteriyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • BYOVD zafiyetine karşı WinRing0x64.sys sürücüsünün güncellenmesi ve güvenlik yamalarının uygulanması.
  • Çıkarılabilir medya kullanımının kısıtlanması ve otomatik tarama politikalarının etkinleştirilmesi.
  • EDR çözümleri ile anormal süreç davranışlarının ve izinsiz yüklemelerin izlenmesi.
  • SIEM sistemlerinde XMRig madencisi ve React2Shell istismarlarına yönelik özel uyarı kurallarının oluşturulması.
  • Zaman bazlı mantık bombası gibi ileri tehdit göstergelerinin tespiti için sistem saat değişikliklerinin loglanması.
  • Ağ segmentasyonu ile kritik sistemlerin diğer ağ bölümlerinden izole edilmesi.
  • MFA ve IAM politikalarının güçlendirilerek yetkisiz erişimlerin engellenmesi.
  • Olay müdahale planlarının güncellenerek bu tür çok aşamalı saldırılara karşı hazırlıklı olunması.

Teknik Özet

  • Kötü amaçlı yazılım: XMRig madencisi, BYOVD (CVE-2020-14979) istismarı, React2Shell (CVE-2025-55182) kullanımı.
  • Hedef sektörler: Hükümet, savunma, finans, endüstri (özellikle ABD odaklı).
  • Saldırı zinciri: Sosyal mühendislik ile dropper indirme → ayrıcalık yükseltme (BYOVD) → madenci yükleme → solucan benzeri yayılma (çıkarılabilir medya ve ağlar) → zaman bazlı mantık bombası ile kalıcılık ve imha.
  • Önerilen savunma: Kritik yamaların uygulanması, EDR ve SIEM entegrasyonu, ağ segmentasyonu, çıkarılabilir medya kontrolü, IAM ve MFA güçlendirmeleri.
, , , , , , ,