Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım XWorm 6.0 Kötü Amaçlı Yazılım

XWorm 6.0 Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Solucanlar'de
Çevir:

Güvenlik araştırmacıları, XWorm'u kompakt bir uzaktan erişim çerçevesinden, operatörlerin ele geçirilmiş Windows ana bilgisayarlarında çok çeşitli kötü amaçlı işlemler çalıştırmak için kullandıkları son derece modüler bir platforma dönüştürdüler. İlk olarak 2022'de işaretlenen ve EvilCoder kullanıcı adını kullanan bir gruba bağlanan XWorm, XCoder (2024 ortasına kadar baş geliştirici) ve daha yakın zamanda XCoderTools gibi satıcılar tarafından aktif olarak geliştirilip yeniden işlendi. Sürekli evrimi ve yeniden ortaya çıkışı, bir aracın ne kadar hızlı parçalanabileceğini, yeniden paketlenebileceğini ve yeniden piyasaya sürülebileceğini göstermektedir.

XWorm Nasıl Oluşturulur — Çekirdek + Eklentiler

XWorm'un mimarisi, bir Komuta ve Kontrol (C2) sunucusuna bağlanan küçük bir istemci ve isteğe bağlı olarak belleğe yüklenen büyük bir eklenti yükü kümesine odaklanır. Tasarım, operatörlerin belirli görevleri gerçekleştirmek için işlevleri (DLL'leri) dinamik olarak zorlarken hafif istemciyi bir ana bilgisayarda tutmalarına olanak tanır. Projenin ekosistemi, geliştiriciler tarafından tanıtılan yardımcı araçları da içerir: bir .NET kötü amaçlı yazılım oluşturucu, XBinder adlı ayrı bir RAT ve Windows Kullanıcı Hesabı Denetimi'ni (UAC) atlatmaya çalışan bir yardımcı program. XWorm çevresindeki geliştirici topluluğu, dağıtım cazibesi olarak diğer bileşenleri ve sahte yükleyicileri (özellikle kötü amaçlı ScreenConnect yükleyicilerini) reklam etmiştir.

Enfeksiyon Zincirleri ve Dağıtım Teknikleri

Araştırmacılar, XWorm için birden fazla, değişken enfeksiyon iş akışı gözlemlediler. İlk zincirler, Windows kısayol (LNK) dosyaları ileten kimlik avı mesajlarına dayanıyordu; LNK'ler, sahte dosyalar (örneğin, zararsız bir TXT) ve aldatıcı bir yürütülebilir dosya (genellikle Discord olarak gizlenir) bırakan ve sonunda gerçek yükü başlatan PowerShell'i çalıştırıyordu. 6.x ailesini dağıtan daha yeni kampanyalar, sahte bir PDF görüntülerken arka planda XWorm'u tespit edilmekten kaçınmak için RegSvcs.exe gibi meşru işlemlere enjekte eden PowerShell'i çalıştıran kimlik avı e-postalarında kötü amaçlı JavaScript ekleri kullandı. Tehdit aktörleri ayrıca, daha az yetenekli operatörleri arka kapılı oluşturucuları yüklemeleri için kandırmaya çalışarak, XWorm bileşenlerinin kırılmış veya truva atı haline getirilmiş sürümlerini GitHub depoları, dosya paylaşım siteleri, Telegram kanalları ve YouTube aracılığıyla yayınladılar.

Kaçış, Uzaktan Kumanda ve Operatör Özellikleri

XWorm, sanallaştırma veya deneme ortamı göstergeleri algıladığında yürütmeyi sonlandıran birden fazla anti-analiz denetimini entegre eder. Etkinleştirildikten sonra, istemci C2'den yaygın RAT işlemlerini (dosya aktarımı, işlem ve hizmet manipülasyonu, kabuk komutlarını çalıştırma, URL açma), sistem kontrolünü (kapatma/yeniden başlatma) ve DDoS etkinliği başlatma gibi daha agresif eylemleri kapsayan komutları kabul eder. Modüler eklenti modeli, uzak bir operatörün 35'ten fazla farklı DLL yükünü diske yazmadan bellekte çalıştırmasına olanak tanır ve XWorm'a esnek bir saldırı yüzeyi sağlarken adli izleri de azaltır.

Eklenti Teslimat Protokolü

XWorm 6.x, karma öncelikli bir eklenti protokolü uygular: C2, istenen DLL'nin SHA-256 karma değerini ve çalışma zamanı argümanlarını içeren bir "eklenti" komutu gönderir. İstemci, söz konusu eklentinin önbelleğe alınmış olup olmadığını kontrol eder; eğer önbelleğe alınmamışsa, dosyayı "sendplugin" ile ister. Sunucu, eklentiyi bir base64 blob ve SHA-256 karma değeri olarak taşıyan bir "savePlugin" komutuyla yanıt verir. İstemci blob'u çözer, karmayı doğrular ve DLL'yi doğrudan yürütülmek üzere belleğe yükler.

Önemli Eklentiler ve Ne İşe Yararlar?

  • RemoteDesktop.dll — etkileşimli bir uzak oturum oluşturur.
  • WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll, SystemCheck.Merged.dll — işletim sistemi ve uygulamalardan kimlik bilgisi ve veri hırsızlığı (Windows anahtarları, Wi-Fi şifreleri, tarayıcıda saklanan kimlik bilgileri, uygulamaya bağlı şifrelemeyi atlatma ve FileZilla, Discord, Telegram, MetaMask için toplayıcılar dahil).
  • FileManager.dll — dosya sistemine erişim ve düzenleme.
  • Shell.dll — cmd.exe aracılığıyla operatör komutlarının gizlice yürütülmesi.
  • Informations.dll — ana bilgisayar/sistem parmak izi.
  • Webcam.dll — gerçek bir kurbanı doğrulamak için web kamerası görüntülerini/videolarını yakalar.
  • TCPConnections.dll, ActiveWindows.dll, StartupManager.dll — ağ bağlantılarını, etkin pencereleri ve otomatik başlatma girdilerini sıralar.
  • Ransomware.dll — dosya şifreleme/şifre çözme rutinleri (NoCry tarzı fidye yazılımıyla kod paylaşır).
  • Rootkit.dll — değiştirilmiş bir r77 rootkit'i yükler.
  • ResetSurvival.dll — Windows Kayıt Defterini belirli cihaz sıfırlamalarından etkilenmeyecek şekilde değiştirir.

XWorm enfeksiyonları yoluyla dağıtılan diğer kötü amaçlı yazılımlar şunlardır:

  • DarkCloud Hırsızı
  • Hworm (VBS RAT)
  • Yılan Tuş Kaydedici
  • Madeni para madencileri
  • Saf Kötü Amaçlı Yazılım
  • ShadowSniff (Pas hırsızı, açık kaynaklı)
  • Hayalet Hırsızı
  • Phemedrone Hırsızı
  • Remcos RAT

Operasyonel Gerilemeler, Parçalanma ve Silahlandırılmış Çatallar

XWorm'un gelişimi doğrusal olmadı. 2024'ün ikinci yarısında, XCoder karakteri Telegram'daki varlığını aniden sonlandırdı ve projenin geleceği konusunda şüphe uyandırdı. Ancak bu boşluk, fırsatçı faaliyetlere yol açtı: diğer tehdit aktörlerini enfekte etmek için truva atı haline getirilmiş XWorm v5.6 paketlerinin kırılması ve GitHub ve diğer genel kanallar aracılığıyla "script kiddie"leri hedef alan sosyal mühendislik kampanyaları. Araştırmacıların tahminine göre bu kampanyalar on binlerce cihazı (bildirildiğine göre 18.000'den fazla) tehlikeye atmaya çalıştı.

Analistler ayrıca, XSPY olarak etiketlenen bir varyant (bildirilen kaynak: Çince varyant) ve bazı sürümlerde C2 şifreleme anahtarına sahip birinin enfekte bilgisayarlarda keyfi kod çalıştırmasına olanak tanıyan kritik bir uzaktan kod yürütme (RCE) zayıflığı da dahil olmak üzere değiştirilmiş çatallanmalar buldular. Araç setinin parçalanmış yapısı, atıf ve kaldırmayı zorlaştırıyor; farklı satıcılar ve çatallanmalar bağımsız olarak ortaya çıkıp kaybolabiliyor.

2025’te Yeniden Ortaya Çıkma: XWorm 6.0 ve Pazar Etkinliği

4 Haziran 2025'te, kendisine XCoderTools adını veren bir satıcı, ömür boyu erişim için 500 dolar fiyatla XWorm 6.0 sürümünü siber suç forumlarında yayınlayarak, sürümün tamamen yeniden kodlandığını ve daha önce bildirilen RCE açığının giderildiğini iddia etti. Bu sürümün orijinal geliştiriciden mi yoksa XWorm markasını kullanan üçüncü bir taraftan mı geldiği belirsizdir. Gözlemlenen XWorm 6.0 örnekleri, 4411 numaralı portta 94.159.113[.]64 numaralı bir C2 ile iletişim kuracak ve yukarıda açıklanan eklenti protokolünü uygulayacak şekilde yapılandırılmıştır; bu da düzinelerce DLL modülünün bellek içi hızlı bir şekilde teslim edilmesini sağlar.

Sonuç

XWorm'un yaşam döngüsü - aktif geliştirme aşamasından terk edilmeye ve yeni satıcılar ve Truva atı içeren sürümler altında yeniden ortaya çıkmaya kadar - kötü amaçlı yazılımların bir ekosistem olduğunu hatırlatır. Orijinal bir yazar ortadan kaybolsa bile, kodları başkaları tarafından çatallanabilir, silahlandırılabilir ve yeniden kullanılabilir. Bu nedenle, savunmacılar, saldırganların mevcut araç setlerini yeniden kullanıp yeniden paketleyeceğini varsayan dayanıklı kontrollere ve tespit stratejilerine odaklanmalıdır.

trend

Posta Kutunuzun Sürümü Durdurulacak Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Çevrimiçi dolandırıcılar, kullanıcıları kandırmak ve değerli verileri çalmak için sürekli olarak yeni numaralar geliştiriyor. Bunlardan biri, şüphelenmeyen kurbanlardan oturum açma bilgilerini toplamak için tasarlanmış bir kimlik avı kampanyası olan "Posta Kutunuzun Sürümü Kullanımdan Kaldırılacak" dolandırıcılığıdır. Siber güvenlik uzmanları, bu dolandırıcılık mesajlarının hiçbir meşru şirket,...

En çok görüntülenen

Yükleniyor...