XWorm 6.0 kártevő
Biztonsági kutatók az XWormot egy kompakt távoli hozzáférési keretrendszerből egy rendkívül moduláris platformmá követték nyomon, amelyet az operátorok a feltört Windows-hosztokon futó széles körű rosszindulatú műveletek futtatására használnak. Az XWormot először 2022-ben jelölték meg és az EvilCoder felhasználónevet használó csoporthoz kapcsolták. Az XWormot aktívan fejlesztették és dolgozták át az XCoder personas (vezető fejlesztő 2024 közepéig) felhasználók, valamint a közelmúltban olyan eladók, mint az XCoderTools. Folyamatos fejlődése és újbóli megjelenése azt mutatja, hogy egy eszköz milyen gyorsan fragmentálódhat, újracsomagolható és kerülhet újra a szabadba.
Tartalomjegyzék
Az XWorm felépítése — Alapvető fejlesztések + bővítmények
Az XWorm architektúrájának középpontjában egy kis kliens áll, amely egy Command-and-Control (C2) szerverhez, valamint egy nagyszámú bővítmény-csomag áll, amelyek igény szerint töltődnek be a memóriába. A kialakítás lehetővé teszi az operátorok számára, hogy a könnyű klienst egy hoszton tartsák, miközben dinamikusan futtatnak funkciókat (DLL-eket) adott feladatok elvégzéséhez. A projekt ökoszisztémája a fejlesztők által népszerűsített kiegészítő eszközöket is tartalmazott: egy .NET kártevő-készítőt, egy különálló RAT-ot, az XBinder-t, és egy segédprogramot, amely megpróbálja megkerülni a Windows felhasználói fiókok felügyeletét (UAC). Az XWorm körüli fejlesztői közösség más komponenseket és hamis telepítőket (nevezetesen a rosszindulatú ScreenConnect telepítőket) is hirdetett terjesztési csaliként.
Fertőzésláncok és szállítási technikák
A kutatók több, változó fertőzési munkafolyamatot figyeltek meg az XWorm esetében. A korai láncok olyan adathalász üzenetekre támaszkodtak, amelyek Windows parancsikonokat (LNK) szállítottak; az LNK-k PowerShellt futtattak, amely csali fájlokat (például egy ártalmatlan TXT-t) és egy megtévesztő végrehajtható fájlt (általában Discordnak álcázva) dobott ki, amely végül elindította a valódi hasznos tartalmat. A 6.x családot terjesztő újabb kampányok rosszindulatú JavaScript mellékleteket használtak az adathalász e-mailekben, amelyek egy csali PDF-et jelenítettek meg, miközben háttérben futó PowerShellt futtattak, amely XWormot fecskendez be legitim folyamatokba, például a RegSvcs.exe-be, hogy elkerülje az észlelést. A fenyegető szereplők az XWorm komponensek feltört vagy trójai verzióit is terjesztették GitHub repókon, fájlmegosztó oldalakon, Telegram csatornákon és a YouTube-on keresztül, megpróbálva rávenni a kevésbé képzett operátorokat, hogy hátsó ajtós fejlesztőket telepítsenek.
Kitérő, távirányító és kezelői funkciók
Az XWorm több anti-analízis ellenőrzést integrál, amelyek megszakítják a végrehajtást, ha virtualizációs vagy sandbox jelzőket észlelnek. Aktiválás után a kliens parancsokat fogad a C2-től, amelyek lefedik a gyakori RAT műveleteket (fájlátvitel, folyamatok és szolgáltatások manipulálása, shell parancsok végrehajtása, URL-ek megnyitása), a rendszervezérlést (leállítás/újraindítás) és az agresszívabb műveleteket, például a DDoS tevékenység indítását. A moduláris bővítménymodell lehetővé teszi a távoli operátorok számára, hogy több mint 35 különböző DLL-csomagot futtassanak a memóriában anélkül, hogy lemezre írnák őket, így rugalmas támadási felületet biztosítva az XWorm számára, miközben csökkenti a forenzikus nyomkövetéseket.
Bővítmény kézbesítési protokoll
Az XWorm 6.x egy hash-first plugin protokollt valósít meg: a C2 kiad egy „plugin” parancsot, amely tartalmazza a kért DLL SHA-256 hash-ét, valamint futásidejű argumentumokat. A kliens ellenőrzi, hogy a plugin már gyorsítótárazva van-e; ha nem, akkor a „sendplugin” paranccsal kéri le a fájlt. A szerver egy „savePlugin” paranccsal válaszol, amely a plugint base64 blobként és annak SHA-256 hash-ét tartalmazza. A kliens dekódolja a blobot, ellenőrzi a hash-t, és közvetlenül a memóriába tölti a DLL-t végrehajtásra.
Figyelemre méltó bővítmények és mit csinálnak
- RemoteDesktop.dll – interaktív távoli munkamenetet hoz létre.
- WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll – hitelesítő adatok és adatok ellopása operációs rendszerből és alkalmazásokból (Windows-kulcsok, Wi-Fi-jelszavak, böngészőben tárolt hitelesítő adatok, beleértve az alkalmazásalapú titkosítás megkerülését, valamint a FileZilla, Discord, Telegram és MetaMask adatgyűjtői).
- FileManager.dll – fájlrendszer-hozzáférés és -kezelés.
- Shell.dll – operátori parancsok rejtett végrehajtása a cmd.exe fájlon keresztül.
- Informations.dll — host/system ujjlenyomatvétel.
- Webcam.dll – webkamera képeket/videókat rögzít egy valódi áldozat azonosítására.
- TCPConnections.dll, ActiveWindows.dll, StartupManager.dll – felsorolja a hálózati kapcsolatokat, az aktív ablakokat és az automatikus indítási bejegyzéseket.
- Ransomware.dll – fájltitkosítási/visszafejtési rutinok (megosztja a kódot a NoCry stílusú zsarolóvírusokkal).
- Rootkit.dll – egy módosított r77 rootkitet telepít.
- ResetSurvival.dll – módosítja a Windows rendszerleíró adatbázist, hogy túlélje bizonyos eszközök alaphelyzetbe állítását.
Az XWorm fertőzéseken keresztül terjedő egyéb rosszindulatú programok a következők:
- Sötét Felhő Lopakodó
- Hféreg (VBS patkány)
- Snake billentyűzetfigyelő
- Érmebányászok
- Tiszta kártevő
- ShadowSniff (rozsdaeltávolító, nyílt forráskódú)
- Fantomlopó
- Phemedrone Stealer
- Remcos RAT
Műveleti kudarcok, széttöredezettség és fegyveres villák
Az XWorm fejlesztése nem volt lineáris. 2024 második felében a persona XCoder hirtelen törölte a Telegram-es jelenlétét, kétségeket ébresztve a projekt jövőjével kapcsolatban. Ez a hiányosság azonban opportunista tevékenységeket eredményezett: feltörték az XWorm v5.6 csomagokat, amelyeket maguk is trójai vírussal fertőztek meg más fenyegetéseket okozó szereplők számára, valamint a „script kiddies”-ket célzó szociális manipulációs kampányokat a GitHubon és más nyilvános csatornákon keresztül – olyan kampányokat, amelyek a kutatók becslése szerint több tízezer eszköz (állítólag több mint 18 000) feltörésére törekedtek.
Az elemzők módosított elágazásokat is találtak, köztük egy XSPY feliratú variánst (jelentett eredet: kínai nyelvű változat), valamint egy kritikus távoli kódfuttatási (RCE) gyengeséget egyes buildekben, amely lehetővé tette a C2 titkosítási kulcs birtokában tetszőleges kód futtatását a fertőzött gazdagépeken. Az eszközkészlet töredezettsége megnehezíti a forrásmegjelölést és az eltávolítást; a különböző eladók és elágazások egymástól függetlenül jelenhetnek meg és tűnhetnek el.
A 2025-ös újraéledés: XWorm 6.0 és a piactér aktivitása
2025. június 4-én egy magát XCoderTools néven emlegető gyártó közzétette az XWorm 6.0-t kiberbűnözéssel foglalkozó fórumokon, 500 dolláros életre szóló hozzáférési áron, azt állítva, hogy a kiadást teljesen újrakódolták, és hogy a korábban jelentett RCE hibát kijavították. Nem világos, hogy ez a kiadás az eredeti szerzőtől vagy egy harmadik féltől származik-e, amely az XWorm márkanevet használja. A megfigyelt XWorm 6.0 minták úgy vannak konfigurálva, hogy egy C2-vel lépjenek kapcsolatba a 94.159.113[.]64 címen a 4411-es porton, és implementálják a fent leírt bővítményprotokollt, lehetővé téve több tucat DLL modul gyors, memórián belüli kézbesítését.
Lényeg
Az XWorm életciklusa – az aktív fejlesztéstől a felhagyáson át az új eladók és trójai vírusokkal fertőzött feltört verziók alatti újbóli megjelenésig – arra emlékeztet, hogy a rosszindulatú programok egy ökoszisztéma. Még ha egy eredeti szerző eltűnik is, a kódját mások elágaztathatják, fegyverré alakíthatják és újratelepíthetik. A védekező szervezeteknek ezért a rugalmas ellenőrzésekre és az észlelési stratégiákra kell összpontosítaniuk, amelyek feltételezik, hogy a támadók újra felhasználják és újracsomagolják a meglévő eszközkészleteket.
