XWorm 6.0 맬웨어

보안 연구원들은 XWorm이 단순한 원격 접속 프레임워크에서 운영자가 감염된 Windows 호스트에서 광범위한 악성 작업을 실행하는 데 사용하는 고도로 모듈화된 플랫폼으로 진화했다는 사실을 추적했습니다. 2022년에 처음 발견되어 EvilCoder라는 닉네임을 사용하는 그룹과 연계된 XWorm은 XCoder라는 페르소나를 사용하는 사람들(2024년 중반까지 수석 개발자)과 최근에는 XCoderTools와 같은 판매업체에 의해 활발하게 개발 및 수정되어 왔습니다. XWorm의 지속적인 진화와 재등장은 도구가 얼마나 빠르게 파편화되고, 재패키징되어 다시 세상에 나올 수 있는지를 보여줍니다.

XWorm의 구성 방식 - 코어 + 플러그인

XWorm의 아키텍처는 명령 및 제어(C2) 서버에 접속하는 소형 클라이언트와 필요에 따라 메모리에 로드되는 대용량 플러그인 페이로드를 중심으로 구성됩니다. 이러한 설계 덕분에 운영자는 호스트에 경량 클라이언트를 유지하면서 특정 작업을 수행하는 기능(DLL)을 동적으로 푸시할 수 있습니다. 이 프로젝트의 생태계에는 개발자들이 홍보하는 보조 도구도 포함되어 있습니다. .NET 맬웨어 빌더, XBinder라는 별도의 RAT(Remote Access Tool), 그리고 Windows 사용자 계정 컨트롤(UAC)을 우회하는 유틸리티가 그 예입니다. XWorm 관련 개발자 커뮤니티는 다른 구성 요소와 가짜 설치 프로그램(특히 악성 ScreenConnect 설치 프로그램)을 배포 미끼로 광고해 왔습니다.

감염 사슬 및 전달 기술

연구원들은 XWorm의 감염 워크플로우가 다양하고 변화하는 것을 관찰했습니다. 초기 체인은 Windows 바로가기(LNK) 파일을 전달하는 피싱 메시지에 의존했습니다. LNK는 PowerShell을 실행하여 미끼 파일(예: 무해한 TXT)과 사기성 실행 파일(일반적으로 Discord로 위장)을 유포하고, 이를 통해 최종적으로 실제 페이로드를 실행했습니다. 6.x 계열을 배포하는 최근 캠페인에서는 피싱 이메일에 악성 JavaScript 첨부 파일을 사용하여 백그라운드 PowerShell을 실행하면서 미끼 PDF를 표시하고, RegSvcs.exe와 같은 정상 프로세스에 XWorm을 주입하여 탐지를 피했습니다. 또한 위협 행위자들은 GitHub 저장소, 파일 공유 사이트, Telegram 채널, YouTube 등을 통해 크랙되거나 트로이 목마에 감염된 XWorm 구성 요소 버전을 배포하여 숙련되지 않은 운영자가 백도어가 설치된 빌더를 설치하도록 유도했습니다.

회피, 원격 제어 및 운영자 기능

XWorm은 가상화 또는 샌드박스 지표를 감지하면 실행을 중단하는 여러 가지 분석 방지 검사를 통합합니다. 활성화되면 클라이언트는 C2로부터 일반적인 RAT 작업(파일 전송, 프로세스 및 서비스 조작, 셸 명령 실행, URL 열기), 시스템 제어(종료/재시작), 그리고 DDoS 활동 시작과 같은 보다 공격적인 작업을 포함하는 명령을 수신합니다. 모듈식 플러그인 모델을 통해 원격 운영자는 디스크에 기록하지 않고도 35개 이상의 다양한 DLL 페이로드를 메모리에서 실행할 수 있으므로, XWorm은 포렌식 추적을 줄이는 동시에 유연한 공격 표면을 확보할 수 있습니다.

플러그인 전달 프로토콜

XWorm 6.x는 해시 우선 플러그인 프로토콜을 구현합니다. C2는 요청된 DLL의 SHA‑256 해시와 런타임 인수를 포함하는 'plugin' 명령을 실행합니다. 클라이언트는 해당 플러그인이 이미 캐시되어 있는지 확인하고, 그렇지 않은 경우 'sendplugin' 명령으로 파일을 요청합니다. 서버는 플러그인을 base64 blob과 SHA‑256 해시로 포함하는 'savePlugin' 명령으로 응답합니다. 클라이언트는 blob을 디코딩하고 해시를 검증한 후, DLL을 메모리에 직접 로드하여 실행합니다.

주목할만한 플러그인과 그 기능

• RemoteDesktop.dll — 대화형 원격 세션을 설정합니다.
• WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — OS 및 애플리케이션에서 자격 증명 및 데이터 도난(Windows 키, Wi-Fi 비밀번호, 브라우저에 저장된 자격 증명, 앱 바운드 암호화 우회 및 FileZilla, Discord, Telegram, MetaMask용 수집기 포함).
• FileManager.dll — 파일 시스템 접근 및 조작.
• Shell.dll — cmd.exe를 통해 운영자 명령을 은밀하게 실행합니다.
• Informations.dll — 호스트/시스템 지문.
• Webcam.dll — 웹캠 이미지/비디오를 캡처하여 실제 피해자를 확인합니다.
• TCPConnections.dll, ActiveWindows.dll, StartupManager.dll - 네트워크 연결, 활성 창 및 자동 시작 항목을 열거합니다.
• Ransomware.dll — 파일 암호화/복호화 루틴(NoCry 스타일 랜섬웨어와 코드를 공유함).
• Rootkit.dll — 수정된 r77 루트킷을 설치합니다.
• ResetSurvival.dll — 특정 장치 재설정을 견디기 위해 Windows 레지스트리를 수정합니다.

XWorm 감염을 통해 배포되는 기타 맬웨어는 다음과 같습니다.

• 다크클라우드 스틸러
• 벌레(VBS RAT)
• 스네이크 키로거
• 코인 채굴자
• 순수 악성코드
• ShadowSniff(Rust 스틸러, 오픈 소스)
• 팬텀 스틸러
• 페메드론 도둑

작전적 좌절, 분열 및 무기화된 포크

XWorm의 개발은 선형적이지 않았습니다. 2024년 하반기, XCoder라는 페르소나가 텔레그램 계정을 갑자기 삭제하면서 프로젝트의 미래에 대한 의구심이 제기되었습니다. 그러나 이러한 공백은 기회주의적인 활동으로 이어졌습니다. XWorm v5.6 패키지를 크래킹하여 다른 위협 행위자를 감염시키기 위해 트로이 목마를 설치하고, GitHub 및 기타 공개 채널을 통해 '스크립트 키디'를 표적으로 삼는 소셜 엔지니어링 캠페인을 벌였습니다. 연구원들은 이러한 캠페인을 통해 수만 대의 기기(18,000대 이상)를 감염시키려 시도했다고 추정합니다.

분석가들은 XSPY(신고된 출처: 중국어 변종)라는 변종을 포함한 변형된 포크와 일부 빌드에서 C2 암호화 키를 보유한 사람이 감염된 호스트에서 임의 코드를 실행할 수 있도록 하는 심각한 원격 코드 실행(RCE) 취약점을 발견했습니다. 이 툴킷은 단편화되어 있어 출처 확인 및 제거가 더욱 어렵습니다. 다양한 판매자와 포크가 독립적으로 나타났다 사라질 수 있습니다.

2025년 재등장: XWorm 6.0과 마켓플레이스 활동

2025년 6월 4일, XCoderTools라는 업체가 사이버범죄 포럼에 평생 이용권 500달러에 XWorm 6.0을 게시하며, 해당 릴리스가 완전히 재코딩되었고 이전에 보고된 RCE 결함이 수정되었다고 주장했습니다. 이 릴리스가 원저작자가 배포한 것인지, 아니면 XWorm 브랜드를 활용하는 제3자가 배포한 것인지는 불분명합니다. 관찰된 XWorm 6.0 샘플은 포트 4411에서 94.159.113[.]64로 C2에 접속하고 위에서 설명한 플러그인 프로토콜을 구현하도록 구성되어 있으며, 이를 통해 수십 개의 DLL 모듈을 메모리 내에서 신속하게 전송할 수 있습니다.

결론

XWorm의 라이프사이클은 활발한 개발부터 방치, 그리고 새로운 판매자와 트로이 목마에 감염된 크랙된 빌드를 통해 다시 나타나는 과정을 통해 맬웨어가 생태계라는 사실을 다시 한번 일깨워줍니다. 원 제작자가 사라지더라도 그들의 코드는 다른 사람들에 의해 포크되고, 무기화되고, 재배포될 수 있습니다. 따라서 방어자는 공격자가 기존 툴셋을 재사용하고 재패키징할 것이라는 가정 하에 복원력 있는 제어 및 탐지 전략에 집중해야 합니다.