Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara XWorm 6.0 pahavara

XWorm 6.0 pahavara

Aastaks Mezo aastal Pahavara, Ussid
Tõlgi:

Turvauurijad on jälginud XWormi kompaktsest kaugjuurdepääsu raamistikust väga modulaarseks platvormiks, mida operaatorid kasutavad laia valiku pahatahtlike toimingute käivitamiseks ohustatud Windowsi hostides. Esmakordselt 2022. aastal märgistatud ja EvilCoder nime kasutava rühmaga seotud XWorm on aktiivselt arendatud ja ümber töötatud isikute poolt, kes kasutavad persona XCoder (peaarendaja kuni 2024. aasta keskpaigani), ja hiljuti ka müüjate, näiteks XCoderToolsi poolt. Selle pidev areng ja taasilmumine näitavad, kui kiiresti saab tööriista fragmenteerida, ümber pakendada ja uuesti avalikkuse ette sattuda.

Kuidas XWorm on üles ehitatud — tuum + pluginad

XWormi arhitektuur keskendub väikesele kliendile, mis loob ühenduse Command-and-Control (C2) serveriga, ja suurele hulgale pistikprogrammidele, mis laaditakse nõudmisel mällu. See disain võimaldab operaatoritel hoida kerget klienti hostis, samal ajal dünaamiliselt funktsionaalsust (DLL-e) konkreetsete ülesannete täitmiseks edastades. Projekti ökosüsteem on lisanud ka arendajate poolt reklaamitavaid abitööriistu: .NET pahavara koostaja, eraldi RAT nimega XBinder ja utiliit, mis üritab Windowsi kasutajakonto kontrollist (UAC) mööda hiilida. XWormi arendajate kogukond on reklaaminud teisi komponente ja võltsitud installijaid (eelkõige pahatahtlikke ScreenConnecti installijaid) levitamismeelelahutusena.

Nakkusahelad ja leviku tõkestamise tehnikad

Teadlased on täheldanud XWormi puhul mitmeid muutuvaid nakatumisprotsesse. Varased ahelad tuginesid andmepüügisõnumitele, mis edastasid Windowsi otseteede (LNK) faile; LNK-d käivitasid PowerShelli, mis saatis peibutusfaile (näiteks kahjutu TXT) ja petlikku käivitatavat faili (tavaliselt maskeerus Discordina), mis lõpuks käivitas tegeliku sisu. Uuemad 6.x perekonna levitavad kampaaniad on kasutanud andmepüügimeilides pahatahtlikke JavaScripti manuseid, mis kuvavad peibutus-PDF-i, käivitades samal ajal taustal PowerShelli, mis süstib XWormi legitiimsetesse protsessidesse, näiteks RegSvcs.exe, et vältida avastamist. Ohutegurid on levitanud ka XWormi komponentide krakitud või troojalaste versioone GitHubi hoidlate, failijagamissaitide, Telegrami kanalite ja YouTube'i kaudu, püüdes petta vähem osavaid operaatoreid tagauksega ehitajate installimiseks.

Vältimise, kaugjuhtimise ja operaatori funktsioonid

XWorm integreerib mitu analüüsivastast kontrolli, mis peatavad täitmise, kui tuvastab virtualiseerimis- või liivakastiindikaatorid. Kui klient on aktiivne, aktsepteerib ta C2-lt käske, mis hõlmavad tavalisi RAT-toiminguid (failiedastus, protsesside ja teenuste manipuleerimine, shellikäskude täitmine, URL-ide avamine), süsteemi juhtimist (väljalülitamine/taaskäivitamine) ja agressiivsemaid toiminguid, näiteks DDoS-tegevuse käivitamist. Modulaarne pluginmudel võimaldab kaugoperaatoril käivitada mälus enam kui 35 erinevat DLL-i kasulikku koormust ilma neid kettale kirjutamata, andes XWormile paindliku rünnakupinna ja vähendades samal ajal kohtuekspertiisi jälgi.

Pluginate edastusprotokoll

XWorm 6.x rakendab räsi-kõigepealt pluginate protokolli: C2 väljastab käsu „plugin”, mis sisaldab taotletud DLL-i SHA-256 räsi ja käitusaja argumente. Klient kontrollib, kas see plugin on juba vahemällu salvestatud; kui ei, siis taotleb see faili käsuga „sendplugin”. Server vastab käsuga „savePlugin”, mis sisaldab pluginat base64 plokina ja selle SHA-256 räsina. Klient dekodeerib ploki, kontrollib räsi ja laadib DLL-i otse mällu täitmiseks.

Märkimisväärsed pluginad ja mida need teevad

  • RemoteDesktop.dll – loob interaktiivse kaugühenduse.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – volituste ja andmete vargus operatsioonisüsteemist ja rakendustest (Windowsi võtmed, WiFi-paroolid, brauseris salvestatud volitused, sh rakendustega seotud krüptimise möödaviigud ja FileZilla, Discordi, Telegrami ja MetaMaski andmekogujad).
  • FileManager.dll — failisüsteemile juurdepääs ja sellega manipuleerimine.
  • Shell.dll — operaatori käskude varjatud täitmine cmd.exe kaudu.
  • Informations.dll — hosti/süsteemi sõrmejälgede võtmine.
  • Webcam.dll – jäädvustab veebikaamera pilte/videoid, et kinnitada tegeliku ohvri olemasolu.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – loetleb võrguühendused, aktiivsed aknad ja automaatkäivituse kirjed.
  • Ransomware.dll – failide krüpteerimis-/dekrüpteerimisrutiinid (jagab koodi NoCry-tüüpi lunavaraga).
  • Rootkit.dll – installib modifitseeritud r77 rootkit'i.
  • ResetSurvival.dll – muudab Windowsi registrit, et see teatud seadmete lähtestuste korral ellu jääks.

Muu XWorm-nakkuste kaudu levitatav pahavara hõlmab järgmist:

  • DarkCloudi varastaja
  • Huss (VBS RAT)
  • Snake KeyLogger
  • Mündikaevurid
  • Puhas pahavara
  • ShadowSniff (rooste varastaja, avatud lähtekoodiga)
  • Fantoomvaras
  • Phemedrone Stealer
  • Remcos RAT

Operatiivsed tagasilöögid, killustumine ja relvastatud kahvlid

XWormi areng pole olnud lineaarne. 2024. aasta teisel poolel kustutas persona XCoder järsult oma Telegrami kohaloleku, pannes kahtluse alla projekti tuleviku. See tühimik aga tekitas oportunistlikku tegevust: murdis XWorm v5.6 pakette, mis ise olid trooja nakatamiseks teiste ohtude tegijate vastu suunatud, ning sotsiaalse manipuleerimise kampaaniaid, mis olid suunatud „script kiddie’dele” GitHubi ja muude avalike kanalite kaudu – kampaaniad, mis teadlaste hinnangul üritasid nakatada kümneid tuhandeid seadmeid (väidetavalt üle 18 000).

Analüütikud leidsid ka modifitseeritud hargnemisi, sealhulgas variandi nimega XSPY (teatatud päritolu: hiinakeelne variant) ja kriitilise kaugkoodi käivitamise (RCE) nõrkuse mõnes versioonis, mis võimaldas C2 krüpteerimisvõtit omaval isikul nakatunud hostides suvalist koodi käivitada. Tööriistakomplekti killustatus muudab omistamise ja eemaldamise raskemaks; erinevad müüjad ja hargnemised võivad ilmuda ja kaduda iseseisvalt.

2025. aasta taaspinnamine: XWorm 6.0 ja turuplatsi tegevus

4. juunil 2025 postitas end XCoderToolsiks nimetav müüja küberkuritegevuse foorumitesse XWorm 6.0, mille eluaegse juurdepääsu hind oli 500 dollarit, väites, et väljalase on täielikult ümber kodeeritud ja et varem teatatud RCE viga on parandatud. Pole selge, kas see väljalase pärineb algselt autorilt või kolmandalt osapoolelt, kes kasutab XWormi kaubamärki. Vaadeldud XWorm 6.0 näidised on konfigureeritud nii, et need võtavad ühendust C2-ga aadressil 94.159.113[.]64 pordi 4411 kaudu ja rakendavad eespool kirjeldatud pluginprotokolli, mis võimaldab kümnete DLL-moodulite kiiret mälusisest edastamist.

Lõppkokkuvõttes

XWormi elutsükkel – aktiivsest arendusest loobumise ja uute müüjate ning troojalaste poolt kräkitud versioonide all uuesti ilmumiseni – tuletab meelde, et pahavara on ökosüsteem. Isegi kui algne autor kaob, saavad teised tema koodi kahekordistada, relvaks muuta ja uuesti kasutusele võtta. Seetõttu peavad kaitsjad keskenduma vastupidavatele kontrollidele ja tuvastusstrateegiatele, mis eeldavad, et vastased taaskasutavad ja pakendavad olemasolevaid tööriistakomplekte ümber.

Trendikas

Teie postkasti versiooni tootmine lõpetatakse – pettus

Andmepüük, Rämpspost
Veebipetturid töötavad pidevalt välja uusi nippe kasutajate petmiseks ja väärtuslike andmete varastamiseks. Üks selline näide on pettus „Teie postkasti versioon eemaldatakse” – andmepüügikampaania, mille eesmärk on koguda sisselogimisandmeid pahaaimamatutelt ohvritelt. Küberturvalisuse eksperdid hoiatavad, et need petturlikud sõnumid ei ole seotud ühegi seadusliku ettevõtte, organisatsiooni ega...

Enim vaadatud

Laadimine...