XWorm backdoor resurfaces with dozens of malicious plugins

XWormバックドアの新バージョンは、オリジナルの開発者であるXCoderが昨年プロジェクトを放棄した後、フィッシングキャンペーンで配布されている。

最新の亜種であるXWorm 6.0、6.4、6.5は、複数の脅威行為者によって採用されているようで、幅広い悪意のある活動を可能にするプラグインをサポートしています。

マルウェアの操作者は、これらのモジュールを使用して、ブラウザやアプリケーションからデータを盗んだり、リモートデスクトップやシェルアクセスを通じてホストを制御したり、ファイルを暗号化または復号化したりすることができます。

XCoderによって開発されたマルウェアの既知の最後のバージョンは5.6で、リモートコード実行の脆弱性がありましたが、最近の亜種では対処されています。

多用途で人気

XWormは、2022年に初めて観測されたリモートアクセス型トロイの木馬です。モジュール式のアーキテクチャと広範な機能により、非常に効果的なマルウェアとして高い評価を得ています。

通常、機密データ(パスワード、暗号ウォレット、財務情報)の収集、キー入力の追跡、クリップボード内の情報の窃取などに使用されます、

しかし、分散型サービス拒否(DDoS)攻撃を仕掛けたり、他のマルウェアをロードしたりするのにも使われる。

XCoderが定期的なアップデートを共有していたTelegramのアカウントを削除した後、複数の脅威アクターがマルウェアのクラックされたバージョンを拡散し始めた。

XWormは非常に人気があったため、ある脅威勢力は、データを盗むバックドアを使って、スキルの低いサイバー犯罪者を標的にするためにXWormを誘い出しに使った。

このキャンペーンでは18,459件の感染を数え、そのほとんどがロシア、米国、インド、ウクライナ、トルコでの感染でした。

多様な配信方法

新バージョンは、ユーザー名XCoderToolsのアカウントからハッカーフォーラムで宣伝され始めた。

オリジナルの開発者であるかどうかは不明だが、このユーザーは、新しいXWormの亜種がRCEの脆弱性に対処し、複数のアップデートが含まれていると主張している。

6月以降、サイバーセキュリティ企業Trellixの研究者は、VirusTotalスキャンプラットフォーム上でXWormのサンプルが増加していることに気づいており、これはサイバー犯罪者の間で採用率が高いことを示している。

あるフィッシングキャンペーンでは、PowerShellスクリプトを起動する悪意のあるJavaScriptを介してマルウェアが展開され、Antimalware Scan Interfaceの保護をバイパスしてXWormを展開することができました。

XWorm infection chain
XWorm 感染チェーン
Trellix

9月に発表されたレポートの中で、研究者は、”XWormマルウェアの感染チェーンは、従来の電子メールベースの攻撃だけでなく、さらなるテクニックを含むように進化している “と述べています。

電子メールや.LNKファイルは依然として一般的な最初のアクセスベクターであるが、マルウェアはまた、Discordのような「無害なアプリケーションに偽装するために正規の.exeファイル名」を使用している。

「これは、ソーシャル・エンジニアリングと技術的な攻撃ベクトルを組み合わせることで、より効果的な攻撃へとシフトしていることを示しています」とTrellixは述べています。

他の研究者は、AIをテーマにしたルアーとScreenConnectリモートアクセスツールの修正された亜種を使用してXWormを配信するキャンペーンを検出した。

また別の調査では、Microsoft Excelファイル(.XLAM)に埋め込まれたシェルコードを通じてXWormを配信するフィッシングキャンペーンの技術的詳細が報告されている。

数十のモジュールの中のランサムウェアの脅威

Trellixの研究者によると、XWormは現在35以上のプラグインを持ち、機密情報の窃取からランサムウェアまでその機能を拡張している。

ファイルを暗号化する機能であるRansomware.dllは、マルウェアのオペレーターに、データをロックした後のデスクトップの壁紙、身代金の金額、ウォレットのアドレス、連絡先の電子メールを設定させます。

Options for XWorm operator launching a ransomware attack
ランサムウェア攻撃を開始するXWormオペレータのオプション
ソースはこちら:Trellix

暗号化プロセスはシステムファイルやフォルダを避け、%USERPROFILE%やDocumentsの場所にあるデータに焦点を当て、元のファイルを削除し、ロックされたデータに拡張子.ENCを追加します。

被害者はまた、デスクトップ上にドロップされたHTMLファイルでデータを復号化するための指示を得ます。詳細には、BTCアドレス、電子メールID、身代金額が含まれます。

XWorm ransomware module encryption
XWorm ランサムウェアモジュール暗号化
ソースはこちら:Trellix

Trellixの研究者は、XWormのランサムウェアモジュールと2021年に初めて観測された.NETベースのNoCryランサムウェアの間にコードの重複を発見しました。

どちらの悪意のあるコードも、初期化ベクトル(IV)と暗号化/復号化キー、暗号化プロセス(4096バイトのブロックでCBCモードのAES)を生成するために同じアルゴリズムを使用しています。

研究者はまた、2つのマルウェアが解析環境に対して同じ検証セットを実行していることにも気づきました。

ランサムウェアコンポーネントとは別に、TrellixはXWormの他の14のプラグインを分析した:

  • RemoteDesktop.dll:被害者のマシンと対話するためのリモートセッションを作成する。
  • WindowsUpdate.dllStealer.dllRecovery.dllmerged.dllChromium.dllSystemCheck.Merged.dll:被害者のデータを盗む。
  • FileManager.dll:オペレーターにファイルシステムへのアクセスと操作機能を提供します。
  • Shell.dll:オペレータが非表示のcmd.exeプロセスで送信したシステムコマンドを実行します。
  • Informations.dll:被害者のマシンに関するシステム情報を収集する
  • Webcam.dll:被害者を録画するために使用される。また、感染したマシンが本物かどうかを確認するためにオペレーターが使用する。
  • TCPConnections.dllActiveWindows.dllStartupManager.dll:それぞれアクティブなTCP接続、アクティブなウィンドウ、スタートアップ・プログラムのリストをC2サーバーに送信する。

研究者によると、データ窃取モジュールだけで、XWormのオペレータは、35以上のウェブブラウザ、電子メールクライアント、メッセージングアプリ、FTPクライアント、暗号ウォレットを含む複数のアプリケーションからログインデータを盗むことができる。

プラグインは特定の機能を提供するものであるため、Trellixは、侵害後の悪意のあるアクティビティに対応できる多層防御アプローチを使用することを推奨しています。

EDR(エンドポイントディテクション&レスポンス)ソリューションは、XWormのモジュールの動作を特定することができ、また、プロアクティブな電子メールとWebの保護は、最初のマルウェアドロッパーをブロックすることができます。

さらに、ネットワーク監視ソリューションは、さらなるプラグインのダウンロードやデータ流出のためのコマンド&コントロールサーバとの通信を検出することができます。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。