មេរោគ XWorm 6.0

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានតាមដាន XWorm ពីក្របខណ្ឌការចូលប្រើពីចម្ងាយតូចទៅក្នុងវេទិកាម៉ូឌុលខ្ពស់ដែលប្រតិបត្តិករប្រើដើម្បីដំណើរការប្រតិបត្តិការព្យាបាទជាច្រើនលើម៉ាស៊ីន Windows ដែលត្រូវបានសម្របសម្រួល។ ត្រូវបានដាក់ទង់ជាលើកដំបូងក្នុងឆ្នាំ 2022 ហើយត្រូវបានភ្ជាប់ទៅក្រុមដោយប្រើចំណុចទាញ EvilCoder XWorm ត្រូវបានអភិវឌ្ឍយ៉ាងសកម្ម និងដំណើរការឡើងវិញដោយបុគ្គលដែលប្រើប្រាស់ XCoder (នាំមុខអ្នកអភិវឌ្ឍន៍រហូតដល់ពាក់កណ្តាលឆ្នាំ 2024) ហើយថ្មីៗនេះ អ្នកលក់ដូចជា XCoderTools ជាដើម។ ការបន្តការវិវត្តន៍ និងការលេចឡើងម្តងទៀតបង្ហាញពីរបៀបដែលឧបករណ៍មួយអាចបំបែក វេចខ្ចប់ឡើងវិញ និងចូលទៅក្នុងព្រៃបានយ៉ាងឆាប់រហ័ស។

របៀបដែល XWorm ត្រូវបានសាងសង់ — ស្នូល + កម្មវិធីជំនួយ

ស្ថាបត្យកម្មរបស់ XWorm ផ្តោតលើម៉ាស៊ីនភ្ញៀវតូចមួយដែលទៅដល់ម៉ាស៊ីនមេ Command-and-Control (C2) និងសំណុំនៃកម្មវិធីជំនួយជាច្រើនដែលត្រូវបានផ្ទុកទៅក្នុងអង្គចងចាំតាមតម្រូវការ។ ការរចនាអនុញ្ញាតឱ្យប្រតិបត្តិកររក្សាម៉ាស៊ីនភ្ញៀវទម្ងន់ស្រាលនៅលើម៉ាស៊ីនខណៈពេលដែលជំរុញមុខងារ (DLLs) ឱ្យដំណើរការជាក់លាក់។ ប្រព័ន្ធអេកូឡូស៊ីរបស់គម្រោងក៏បានរួមបញ្ចូលផងដែរនូវឧបករណ៍បន្ថែមដែលត្រូវបានផ្សព្វផ្សាយដោយអ្នកអភិវឌ្ឍន៍៖ កម្មវិធីបង្កើតមេរោគ .NET, RAT ដាច់ដោយឡែកដែលហៅថា XBinder និងឧបករណ៍ប្រើប្រាស់ដែលព្យាយាមរំលងការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់វីនដូ (UAC) ។ សហគមន៍អ្នកអភិវឌ្ឍន៍ជុំវិញ XWorm បានផ្សាយពាណិជ្ជកម្មសមាសភាគផ្សេងទៀត និងកម្មវិធីដំឡើងក្លែងក្លាយ (ជាពិសេសកម្មវិធីដំឡើង ScreenConnect ដែលមានគំនិតអាក្រក់) ជាការទាក់ទាញការចែកចាយ។

ខ្សែសង្វាក់ឆ្លងមេរោគ និងបច្ចេកទេសដឹកជញ្ជូន

អ្នកស្រាវជ្រាវបានសង្កេតមើលលំហូរការងារឆ្លងមេរោគជាច្រើនដែលផ្លាស់ប្តូរសម្រាប់ XWorm ។ ខ្សែសង្វាក់ដំបូងពឹងផ្អែកលើសារបន្លំដែលបញ្ជូនឯកសារផ្លូវកាត់វីនដូ (LNK) ។ LNKs បានប្រតិបត្តិ PowerShell ដែលបានទម្លាក់ឯកសារបោកបញ្ឆោត (ឧទាហរណ៍ TXT ដែលមិនបង្កគ្រោះថ្នាក់) និងអាចប្រតិបត្តិដោយបោកបញ្ឆោត (ជាទូទៅថាជា Discord) ដែលទីបំផុតបានបើកដំណើរការបន្ទុកពិតប្រាកដ។ យុទ្ធនាការថ្មីៗបន្ថែមទៀតដែលចែកចាយគ្រួសារ 6.x បានប្រើឯកសារភ្ជាប់ JavaScript ព្យាបាទនៅក្នុងអ៊ីមែលបន្លំដែលបង្ហាញ PDF បោកបញ្ឆោត ខណៈពេលដែលដំណើរការ Background PowerShell ដែលបញ្ចូល XWorm ទៅក្នុងដំណើរការស្របច្បាប់ដូចជា RegSvcs.exe ដើម្បីជៀសវាងការរកឃើញ។ តួអង្គគម្រាមកំហែងក៏បានជំរុញកំណែដែលបានបំបែក ឬ trojanized នៃសមាសធាតុ XWorm តាមរយៈ GitHub repos គេហទំព័រចែករំលែកឯកសារ បណ្តាញ Telegram និង YouTube ដោយព្យាយាមបញ្ឆោតប្រតិបត្តិករដែលមិនសូវមានជំនាញក្នុងការដំឡើងអ្នកសាងសង់ខាងក្រោយ។

ការគេចចេញ ការបញ្ជាពីចម្ងាយ និងមុខងាររបស់ប្រតិបត្តិករ

XWorm រួមបញ្ចូលការត្រួតពិនិត្យប្រឆាំងការវិភាគជាច្រើនដែលបោះបង់ការប្រតិបត្តិ នៅពេលដែលវារកឃើញសូចនាករនិម្មិត ឬប្រអប់ខ្សាច់។ នៅពេលដែលសកម្ម អតិថិជនទទួលយកពាក្យបញ្ជាពី C2 ដែលគ្របដណ្តប់ប្រតិបត្តិការ RAT ទូទៅ (ការផ្ទេរឯកសារ ដំណើរការ និងការរៀបចំសេវាកម្ម ការប្រតិបត្តិពាក្យបញ្ជាសែល ការបើក URLs) ការគ្រប់គ្រងប្រព័ន្ធ (បិទ/ចាប់ផ្តើមឡើងវិញ) និងសកម្មភាពឈ្លានពានជាច្រើនទៀតដូចជាការចាប់ផ្តើមសកម្មភាព DDoS ។ គំរូកម្មវិធីជំនួយម៉ូឌុលអនុញ្ញាតឱ្យប្រតិបត្តិករពីចម្ងាយដំណើរការច្រើនជាង 35 បន្ទុក DLL ផ្សេងៗគ្នានៅក្នុងអង្គចងចាំដោយមិនចាំបាច់សរសេរពួកវាទៅថាសដោយផ្តល់ឱ្យ XWorm នូវផ្ទៃវាយប្រហារដែលអាចបត់បែនបានខណៈពេលដែលកាត់បន្ថយដានកោសល្យវិច្ច័យ។

ពិធីការចែកចាយកម្មវិធីជំនួយ

XWorm 6.x អនុវត្តពិធីការកម្មវិធីជំនួយ hash-first៖ C2 ចេញពាក្យបញ្ជា 'plugin' ដែលមាន hash SHA-256 នៃអាគុយម៉ង់ DLL បូកនឹង runtime ។ ម៉ាស៊ីនភ្ញៀវពិនិត្យមើលថាតើវាមានកម្មវិធីជំនួយនោះនៅក្នុងឃ្លាំងសម្ងាត់រួចហើយឬនៅ។ ប្រសិនបើមិនមានទេ វាស្នើសុំឯកសារដោយប្រើ 'sendplugin'។ ម៉ាស៊ីនមេឆ្លើយតបដោយប្រើពាក្យបញ្ជា 'savePlugin' ដែលផ្ទុកកម្មវិធីជំនួយជាប្លុក base64 និងសញ្ញា SHA-256 របស់វា។ ម៉ាស៊ីនភ្ញៀវឌិកូដ blob ផ្ទៀងផ្ទាត់ hash និងផ្ទុក DLL ដោយផ្ទាល់ទៅក្នុងអង្គចងចាំសម្រាប់ការប្រតិបត្តិ។

កម្មវិធីជំនួយគួរឱ្យកត់សម្គាល់ និងអ្វីដែលពួកគេធ្វើ

• RemoteDesktop.dll — បង្កើតសម័យអន្តរកម្មពីចម្ងាយ។
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — ការលួចទិន្នន័យ និងការលួចទិន្នន័យពី OS និងកម្មវិធី (Windows keys, Wi-Fi passwords, browser-store-credentials, including bypasses for app-bound encryption, and harvesters, Fileskilla, Disc.
• FileManager.dll - ការចូលប្រើប្រព័ន្ធឯកសារ និងការរៀបចំ។
• Shell.dll - លាក់ការប្រតិបត្តិពាក្យបញ្ជាប្រតិបត្តិករតាមរយៈ cmd.exe ។
• Informations.dll — ម៉ាស៊ីន/ប្រព័ន្ធស្នាមម្រាមដៃ។
• Webcam.dll — ចាប់យករូបភាព/វីដេអូ webcam ដើម្បីបញ្ជាក់ជនរងគ្រោះពិតប្រាកដ។
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — រាប់បញ្ចូលការភ្ជាប់បណ្តាញ បង្អួចសកម្ម និងធាតុចាប់ផ្តើមស្វ័យប្រវត្តិ។
• Ransomware.dll — ទម្រង់ការអ៊ិនគ្រីប/ឌិគ្រីបឯកសារ (ចែករំលែកកូដជាមួយ ransomware រចនាប័ទ្ម NoCry) ។
• Rootkit.dll — ដំឡើង r77 rootkit ដែលបានកែប្រែ។
• ResetSurvival.dll — កែប្រែ Windows Registry ដើម្បីរស់ឡើងវិញនូវការកំណត់ឧបករណ៍ជាក់លាក់។

មេរោគផ្សេងទៀតដែលត្រូវបានចែកចាយតាមរយៈការឆ្លងមេរោគ XWorm រួមមាន:

• អ្នកលួច DarkCloud
• ដង្កូវ (VBS RAT)
• Snake KeyLogger
• អ្នកជីករ៉ែកាក់
• មេរោគសុទ្ធ
• ShadowSniff (អ្នកលួចច្រែះ, ប្រភពបើកចំហ)
• អ្នកលួច Phantom
• អ្នកលួច Phemedrone

ការថយក្រោយនៃប្រតិបត្តិការ ការបំបែក និងសមរភូមិអាវុធ

ការអភិវឌ្ឍន៍របស់ XWorm មិនមានលក្ខណៈលីនេអ៊ែរទេ។ នៅពាក់កណ្តាលទីពីរនៃឆ្នាំ 2024 បុគ្គល XCoder បានលុបវត្តមាន Telegram របស់ពួកគេភ្លាមៗ ដោយធ្វើឱ្យមានការសង្ស័យលើអនាគតរបស់គម្រោង។ ទោះជាយ៉ាងណាក៏ដោយ គម្លាតនោះបានបង្កើតឱ្យមានសកម្មភាពឱកាសនិយម៖ បានបំបែកកញ្ចប់ XWorm v5.6 ដែលខ្លួនគេត្រូវបាន trojanized ដើម្បីឆ្លងដល់តួអង្គគម្រាមកំហែងផ្សេងទៀត និងយុទ្ធនាការវិស្វកម្មសង្គមដែលផ្តោតលើ 'script kiddies' តាមរយៈ GitHub និងបណ្តាញសាធារណៈផ្សេងទៀត - យុទ្ធនាការដែលអ្នកស្រាវជ្រាវបានប៉ាន់ប្រមាណថាព្យាយាមសម្របសម្រួលឧបករណ៍រាប់ម៉ឺន (រាយការណ៍ថាមានច្រើនជាង 18,000)។

អ្នកវិភាគក៏បានរកឃើញសមដែលបានកែប្រែ រួមទាំងវ៉ារ្យ៉ង់ដែលមានស្លាក XSPY (ប្រភពដើមរាយការណ៍៖ បំរែបំរួលជាភាសាចិន) និងភាពទន់ខ្សោយនៃការប្រតិបត្តិកូដពីចម្ងាយ (RCE) ដ៏សំខាន់នៅក្នុងការបង្កើតមួយចំនួនដែលអនុញ្ញាតឱ្យនរណាម្នាក់ដែលមានសោអ៊ិនគ្រីប C2 ប្រតិបត្តិកូដបំពានលើម៉ាស៊ីនដែលមានមេរោគ។ ការបែកខ្ញែកនៃកញ្ចប់ឧបករណ៍ធ្វើឱ្យការបញ្ជាក់ និងការដកចេញកាន់តែពិបាក។ អ្នកលក់ និងសមផ្សេងគ្នាអាចលេចឡើង និងបាត់ដោយឯករាជ្យ។

ការបន្តឡើងវិញឆ្នាំ 2025៖ សកម្មភាព XWorm 6.0 និងទីផ្សារ

នៅថ្ងៃទី 4 ខែមិថុនា ឆ្នាំ 2025 អ្នកលក់ដែលហៅខ្លួនឯងថា XCoderTools បានបង្ហោះ XWorm 6.0 នៅលើវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមានតម្លៃ 500 ដុល្លារសម្រាប់ការចូលប្រើប្រាស់ពេញមួយជីវិត ដោយអះអាងថាការចេញផ្សាយនេះត្រូវបានសរសេរឡើងវិញទាំងស្រុង ហើយកំហុស RCE ដែលបានរាយការណ៍ពីមុនត្រូវបានជួសជុល។ វាមិនច្បាស់ទេថាតើការចេញផ្សាយនេះមកពីអ្នកនិពន្ធដើម ឬមកពីភាគីទីបីដែលប្រើប្រាស់ម៉ាក XWorm នោះទេ។ សំណាក XWorm 6.0 ដែលបានសង្កេតត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីទាក់ទង C2 នៅ 94.159.113[.]64 នៅលើច្រក 4411 និងអនុវត្តពិធីការកម្មវិធីជំនួយដែលបានពិពណ៌នាខាងលើ ដោយបើកដំណើរការការចែកចាយម៉ូឌុល DLL រាប់សិបនៅក្នុងអង្គចងចាំយ៉ាងឆាប់រហ័ស។

បន្ទាត់ខាងក្រោម

វដ្ដជីវិតរបស់ XWorm — ពីការអភិវឌ្ឍន៍សកម្មតាមរយៈការបោះបង់ចោលរហូតដល់ការលេចចេញជាថ្មីនៅក្រោមអ្នកលក់ថ្មី និងការបង្កើតការបង្ក្រាបដែលត្រូវបាន Trojanized គឺជាការរំលឹកថាមេរោគគឺជាប្រព័ន្ធអេកូឡូស៊ី។ ទោះបីជាអ្នកនិពន្ធដើមបាត់ខ្លួនក៏ដោយ កូដរបស់ពួកគេអាចត្រូវបានបំបែក អាវុធ និងប្រើប្រាស់ឡើងវិញដោយអ្នកដទៃ។ ដូច្នេះ អ្នកការពារត្រូវតែផ្តោតលើការគ្រប់គ្រងដែលធន់ទ្រាំ និងយុទ្ធសាស្ត្រស្វែងរកដែលសន្មត់ថាសត្រូវនឹងប្រើឡើងវិញ និងវេចខ្ចប់ឧបករណ៍ដែលមានស្រាប់ឡើងវិញ។