概要:XWormマルウェアの新たな脅威
昨年、開発者XCoderがプロジェクトを放棄した後、XWormバックドアの新しいバージョンがフィッシングキャンペーンで拡散されていることが確認されました。最新のXWorm 6.0、6.4、6.5は複数の脅威アクターに採用されており、広範な悪意ある活動を可能にするプラグインをサポートしています。マルウェアのオペレーターはこれらのモジュールを利用して、ブラウザやアプリケーションからデータを盗み出し、リモートデスクトップやシェルアクセスを通じてホストを制御し、ファイルを暗号化または復号化することができます。XCoderが開発した最後の既知のバージョンである5.6にあったリモートコード実行の脆弱性は、これらの最新バージョンで対処されています。
多機能で人気の高いXWorm
XWormは2022年に初めて観測されたリモートアクセス型トロイの木馬(RAT)です。そのモジュール式のアーキテクチャと広範な機能により、非常に効果的なマルウェアとして評判を確立しました。通常、パスワード、仮想通貨ウォレット、金融情報などの機密データを収集し、キーストロークを追跡し、クリップボードの情報を盗むために使用されます。しかし、分散型サービス拒否(DDoS)攻撃を仕掛けたり、他のマルウェアをロードしたりすることも可能です。XCoderが定期的な更新を共有していたTelegramアカウントを削除した後、複数の脅威アクターがマルウェアのクラック版を拡散し始めました。XWormは非常に人気があったため、ある脅威アクターは、スキルが低いサイバー犯罪者を標的とするための誘いとしてこれを利用し、データを盗むバックドアを仕掛けました。このキャンペーンでは、ロシア、米国、インド、ウクライナ、トルコを中心に18,459件の感染が確認されています。
多様な配信方法
6月以降、サイバーセキュリティ企業Trellixの研究者たちは、VirusTotalスキャンプラットフォーム上でXWormのサンプルが増加していることに気づきました。これは、サイバー犯罪者の間での高い採用率を示しています。あるフィッシングキャンペーンでは、悪意のあるJavaScriptを通じてマルウェアが展開され、PowerShellスクリプトが起動し、Antimalware Scan Interface(AMSI)保護を回避してXWormをデプロイしました。9月のレポートで、研究者たちは「XWormマルウェアの感染チェーンは、従来のメールベースの攻撃を超えて、追加の技術を含むように進化している」と述べています。メールや.LNKファイルは依然として一般的な初期アクセスベクトルですが、マルウェアはDiscordのような「無害なアプリケーションを装うために、正規に見える.exeファイル名」も使用しています。Trellixは、「これは、より高い効果を得るために、ソーシャルエンジニアリングと技術的な攻撃ベクトルを組み合わせる方向への転換を示している」と指摘しています。他の研究者たちは、AIをテーマにした誘い文句や、変更されたScreenConnectリモートアクセスツールを使用してXWormを配信するキャンペーンを検出しました。また、Microsoft Excelファイル(.XLAM)に埋め込まれたシェルコードを通じてXWormを配信するフィッシングキャンペーンに関する技術的な詳細も報告されています。
数十のモジュールの中のランサムウェアの脅威
Trellixの研究者によると、XWormは現在、機密情報の窃取からランサムウェアに至るまで、その機能を拡張する35以上のプラグインを持っています。ファイル暗号化機能であるRansomware.dllは、マルウェアのオペレーターがデータをロックした後、デスクトップの壁紙、身代金、ウォレットアドレス、連絡先メールアドレスを設定することを可能にします。暗号化プロセスはシステムファイルやフォルダを回避し、%USERPROFILE%およびDocumentsの場所にあるデータに焦点を当て、元のファイルを削除し、ロックされたデータに.ENC拡張子を追加します。被害者には、デスクトップにドロップされたHTMLファイルでデータの復号化手順が提供されます。これには、BTCアドレス、メールID、身代金が含まれます。Trellixの研究者たちは、XWormのランサムウェアモジュールと2021年に初めて観測された.NETベースのNoCryランサムウェアとの間にコードの重複を発見しました。両方の悪意あるコードは、初期化ベクトル(IV)と暗号化/復号化キーを生成するために同じアルゴリズムを使用し、暗号化プロセス(4096バイトブロックでのCBCモードAES)も同じです。研究者たちはまた、両方のマルウェアが分析環境に対して同じ一連の検証を実行していることにも気づきました。
その他の注目すべきプラグイン:
- RemoteDesktop.dll:被害者のマシンと対話するためのリモートセッションを作成します。
- WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged.dll、Chromium.dll、SystemCheck.Merged.dll:被害者のデータを盗みます。
- FileManager.dll:オペレーターにファイルシステムへのアクセスと操作機能を提供します。
- Shell.dll:オペレーターが送信するシステムコマンドを隠されたcmd.exeプロセスで実行します。
- Informations.dll:被害者のマシンに関するシステム情報を収集します。
- Webcam.dll:被害者を記録するために使用されます。感染したマシンが本物であるかを確認するためにもオペレーターによって使用されます。
- TCPConnections.dll、ActiveWindows.dll、StartupManager.dll:それぞれアクティブなTCP接続、アクティブなウィンドウ、スタートアッププログラムのリストをC2サーバーに送信します。
研究者たちは、データ窃取モジュールだけでも、XWormのオペレーターが35以上のウェブブラウザ、メールクライアント、メッセージングアプリ、FTPクライアント、仮想通貨ウォレットを含む複数のアプリケーションからログインデータを盗むことができると述べています。
推奨される対策
プラグインが特定の機能を果たすため、Trellixは組織に対し、侵害後の悪意ある活動に対応できる多層防御アプローチを採用することを推奨しています。エンドポイント検出および対応(EDR)ソリューションは、XWormのモジュールの挙動を特定でき、プロアクティブなメールおよびウェブ保護は、初期のマルウェアドロッパーをブロックできます。さらに、ネットワーク監視ソリューションは、追加のプラグインのダウンロードやデータ流出のためのコマンド&コントロールサーバーとの通信を検出することができます。