XWorm 6.0惡意軟體
安全研究人員追蹤發現,XWorm 從一個緊湊的遠端存取框架演變為一個高度模組化的平台,攻擊者可利用該平台在受感染的 Windows 主機上運行各種惡意操作。 XWorm 於 2022 年首次被標記,並被關聯到使用 EvilCoder 使用者名稱的組織。 XWorm 一直由使用 XCoder(首席開發人員,直至 2024 年中期)身份的個人積極開發和修改,最近,XCoderTools 等賣家也參與其中。 XWorm 的持續演進和重現表明,一個工具可以快速分裂、重新包裝並重新流行。
目錄
XWorm 的建構方式-核心 + 插件
XWorm 的架構核心是一個小型客戶端,該客戶端可以連接到命令與控制 (C2) 伺服器,以及一組可按需載入到記憶體的插件有效載荷。這種設計允許攻擊者將輕量級用戶端保留在主機上,同時動態推送功能 (DLL) 以執行特定任務。該專案的生態系統還包含由開發人員推廣的輔助工具:一個 .NET 惡意軟體建構器、一個名為 XBinder 的獨立 RAT,以及一個試圖繞過 Windows 使用者帳戶控制 (UAC) 的實用程式。 XWorm 的開發者社群也宣傳了其他元件和虛假安裝程式(尤其是惡意的 ScreenConnect 安裝程式),作為分發誘餌。
感染鍊和傳播技術
研究人員觀察到 XWorm 的感染流程多種多樣。早期的攻擊鏈依賴於傳遞 Windows 捷徑 (LNK) 檔案的網路釣魚郵件;LNK 檔案會執行 PowerShell,從而植入誘餌檔案(例如,無害的 TXT 檔案)和欺騙性可執行檔案(通常偽裝成 Discord),最終啟動真正的負載。近期傳播 6.x 系列的攻擊活動在網路釣魚郵件中使用惡意 JavaScript 附件,這些附件會顯示誘餌 PDF 文件,同時執行後台 PowerShell,將 XWorm 注入合法進程(例如 RegSvcs.exe),以避免被偵測到。威脅行為者也透過 GitHub 程式庫、檔案分享網站、Telegram 頻道和 YouTube 推播破解版或木馬版 XWorm 元件,試圖誘騙技術水平較低的操作員安裝後門建構器。
規避、遠端控制和操作員功能
XWorm 整合了多重反分析檢查,當偵測到虛擬化或沙盒指標時,會中止執行。一旦激活,客戶端就會接受來自 C2 的命令,這些命令涵蓋常見的 RAT 操作(文件傳輸、進程和服務操作、執行 Shell 命令、打開 URL)、系統控制(關機/重啟)以及更激進的操作,例如發起 DDoS 攻擊。模組化插件模型允許遠端操作員在記憶體中運行超過 35 種不同的 DLL 負載,而無需將其寫入磁碟,這為 XWorm 提供了靈活的攻擊面,同時減少了取證痕跡。
插件交付協議
XWorm 6.x 實作了雜湊優先的插件協定:C2 發出一個「plugin」命令,其中包含所請求 DLL 的 SHA-256 雜湊值以及執行時間參數。用戶端檢查是否已快取該插件;如果沒有,則使用「sendplugin」命令請求檔案。伺服器回覆「savePlugin」命令,其中包含以 base64 格式儲存的插件及其 SHA-256 雜湊值。客戶端解碼該插件,驗證哈希值,然後將 DLL 直接載入到記憶體中執行。
值得注意的插件及其功能
- RemoteDesktop.dll — 建立互動式遠端會話。
- WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged。
- FileManager.dll — 檔案系統存取和操作。
- Shell.dll — 透過 cmd.exe 隱藏執行操作員指令。
- Informations.dll — 主機/系統指紋辨識。
- Webcam.dll — 捕捉網路攝影機影像/影片以確認真正的受害者。
- TCPConnections.dll、ActiveWindows.dll、StartupManager.dll-枚舉網路連線、活動視窗和自動啟動項目。
- Ransomware.dll-檔案加密/解密例程(與 NoCry 風格的勒索軟體共用程式碼)。
- Rootkit.dll — 安裝修改後的 r77 rootkit。
- ResetSurvival.dll — 修改 Windows 登錄以在某些裝置重設後繼續執行。
透過 XWorm 感染傳播的其他惡意軟體包括:
- 暗雲竊賊
- Hworm(VBS RAT)
- 蛇形鍵盤記錄器
- 挖礦者
- 純惡意軟體
- ShadowSniff(Rust竊取工具,開源)
- 幻影竊賊
- 竊取蜂酮
運作受挫、碎片化和武器化分叉
XWorm 的發展並非一帆風順。 2024 年下半年,XCoder 突然刪除了 Telegram 帳號,該專案的未來前景堪憂。然而,這一漏洞催生了一系列機會主義活動:破解的 XWorm v5.6 軟體包本身被植入木馬病毒,用於感染其他威脅行為者;以及透過 GitHub 和其他公共管道針對「腳本小子」發起的社會工程攻擊活動——研究人員估計,這些攻擊活動試圖入侵數萬台設備(據報導超過 18,000 台)。
分析人員還發現了一些經過修改的分支,包括一個名為 XSPY 的變種(報告來源:中文變種),以及某些版本中存在的嚴重遠端程式碼執行 (RCE) 漏洞,該漏洞允許持有 C2 加密金鑰的人在受感染的主機上執行任意程式碼。該工具包的碎片化使得溯源和刪除更加困難;不同的賣家和分支可能會獨立出現和消失。
2025 重現:XWorm 6.0 與市集活動
2025年6月4日,一家自稱XCoderTools的供應商在網路犯罪論壇上發布了XWorm 6.0,售價500美元,終身使用,並聲稱該版本已完全重新編碼,並且先前報告的RCE漏洞已修復。目前尚不清楚該版本是來自原作者還是利用XWorm品牌的第三方。觀察到的XWorm 6.0樣本配置為透過連接埠4411與位於94.159.113[.]64的C2伺服器進行通信,並實現上述插件協議,從而能夠快速在記憶體中傳遞數十個DLL模組。
底線
XWorm 的生命週期——從積極開發到被放棄,再到以新賣家和木馬破解版本的形式重新出現——提醒我們,惡意軟體是一個生態系統。即使原作者消失,他們的程式碼也可能被他人分叉、武器化和重新部署。因此,防禦者必須專注於制定彈性控制和偵測策略,並假設攻擊者會重複使用和重新打包現有的工具集。
