サイバーニュース.jp

世界のサイバーなニュースを配信

XWorm V6新亜種、信頼されたWindowsアプリケーションに悪性コードを埋め込み

カテゴリ:

, , , , , , , , ,

はじめに

サイバー脅威が絶えず進化する現代において、情報収集は単なる利点ではなく、必要不可欠なものとなっています。2022年に初めて確認されたXWormは、サイバー犯罪者に悪意のある活動のための多用途なツールキットを提供し、非常に効果的なマルウェアとして急速に悪名を馳せました。XWormのモジュラー設計は、コアクライアントと、プラグインとして知られる一連の特殊コンポーネントを中心に構築されています。これらのプラグインは、コアマルウェアがアクティブになった後、特定の有害なアクションを実行するように設計された追加のペイロードです。このモジュール性により、攻撃者はデータ窃盗やシステム制御から永続的な監視まで、さまざまな目的でXWormの機能を利用できます。

XWormの進化と復活

XWormの開発は「XCoder」によって主導され、Telegramを通じて定期的なアップデートが共有されていました。しかし、2024年後半にXWorm V5.6がリリースされた後、XCoderはアカウントを削除し、公式サポートを終了しました。これにより、V5.6が最終バージョンと見なされていました。その後、脅威アクターは、無意識のオペレーターを感染させるトロイの木馬が仕込まれたクラック版V5.6ビルダーを配布しました。さらに、V5.6の重大なリモートコード実行(RCE)脆弱性が公開され、C2暗号化キーを持つ攻撃者が任意のコードを実行できることが判明しました。

多くの専門家はXWormが終焉を迎えたと考えていましたが、マルウェアの引退はめったに永続的なものではありません。2025年6月4日、hackforums.netで「XCoderTools」がXWorm V6.0を発表し、RCEの欠陥やその他の機能強化を修正したと主張しました。V6.0のリリース以来、VirusTotalでのXWorm V6.0の検出数が急増しており、脅威アクターによる迅速な採用が浮き彫りになっています。

感染経路とプラグインの武器庫

V6.0の主要なキャンペーンは、悪意のあるJavaScriptファイルから始まります。このファイルは、無害なPDFのデコイを表示しながら、PowerShellスクリプトをダウンロードして実行します。PowerShellコンポーネントは、検出を回避するためにAMSIを無効にし、XWormクライアントとDLLインジェクターを取得し、ステルス展開のために準備します。インジェクターは、RegSvcs.exeのような正規のWindowsプログラムにXWormのコードを埋め込み、隠密な実行を可能にします。アクティブになると、クライアントは新しいデフォルトキー(V5.6の「<123456789>」に対し「<666666>」)を使用してC2(94[.]159[.]113[.]64:4411)に接続します。

コア機能はV5.6を反映していますが、V6.0はHKCU\SOFTWARE\<Client ID>のレジストリエントリからロードされるILProtectorでパックされたプラグインを導入しています。ロードされるプラグインは、リモートデスクトップ、資格情報窃盗、ファイル管理、シェル実行、スタートアップ列挙、TCP制御、ウェブカメラストリーミング、そしてランサムウェアをサポートします。注目すべきペイロードには以下が含まれます。

  • RemoteDesktop.dll
  • Stealer.dll
  • FileManager.dll
  • Shell.dll
  • Ransomware.dll

特にRansomware.dllは、クライアントIDのSHA-512ハッシュでキー設定されたAES-CBCでファイルを暗号化し、身代金メモと壁紙をドロップし、暗号化ステータスを追跡するためのレジストリフラグを設定します。V6のプラグイン数は35を超え、リークされたV6.4ビルダーにはルートキットインストールや工場出荷時設定リセットによる永続化のための追加モジュールが含まれています。

永続化と進化する脅威

VBSまたは.wsfファイルを介して配信される永続化スクリプトは、スケジュールされたタスク、レジストリの実行キー、さらには再インストール後も存続するためのResetConfig.xmlを作成します。オペレーターは、ログオンスクリプトから管理者レベルの工場出荷時設定リセットフックまで、4つの異なる永続化方法を利用します。クラックされたV6ビルダーは、感染したビルダーをさらに配布し、ビルダー自体がマルウェアを宿すという自己増殖のリスクを浮き彫りにしています。

XWorm V6の復活は、マルウェアの脅威が決して完全に消滅しないことを強調しています。そのモジュラープラグインアーキテクチャと高度なインジェクション技術は、シグネチャベースの防御を超えた対策を要求します。多層的なセキュリティ体制が不可欠です。異常なプロセスインジェクションを捕捉するためのエンドポイント検出および応答(EDR)、初期のドロッパーをブロックするためのプロアクティブな電子メールおよびウェブゲートウェイ、そしてC2通信を特定するための継続的なネットワーク監視が必要です。この動的な脅威ランドスケープにおいて、敵に一歩先んじるためには、アジャイルで行動に焦点を当てたセキュリティプラットフォームが不可欠です。

侵害の痕跡 (IOC)

以下に、このキャンペーンで確認されたファイルのSHA256ハッシュとファイル名を示します。

  • SHA256: 995869775b9d43adeb7e0eb34462164bcfbee3ecb4eda3c436110bd9b905e7ba
    Name: OSHA_Investigation_Case_0625OQI685837AW.pdf.js
  • SHA256: 4ce4dc04639d673f0627afc678819d1a7f4b654445ba518a151b2e80e910a92c
    Name: payload_1.ps1
  • SHA256: 8514a434b50879e2b8c56cf3fd35f341e24feae5290fa530cc30fae984b0e16c
    Name: ClassLibrary7.dll
  • SHA256: 570e4d52b259b460aa17e8e286be64d5bada804bd4757c2475c0e34a73aeb869
    Name: XWormClient.exe
  • SHA256: 000185a17254cd8863208d3828366ec25ddd01596f18e57301355d4a33eac242
    Name: RunShell.exe
  • SHA256: 4d225af71d287f1264f3116075386ac2ce9ee9cd26fb8c3a938c2bf50cca8683
    Name: 000053AB01136548.wsf
  • SHA256: 760a3d23ee860cf2686a3d0ef266e7e1ad835cc8b8ce69bfe68765c247753c6b
    Name: 00001EF600EEBD20.wsf
  • SHA256: 8106b563e19c946bd76de7d00f7084f3fc3b435ed07eb4757c8da94c89570864
    Name: win32.exe
  • SHA256: 1990659a28b2c194293f106e98f5c5533fdad91e50fdeb1a9590d6b1d2983ada
    Name: chrome_decrypt.dll
  • SHA256: d46bb31dc93b89d67abffe144c56356167c9e57e3235bfb897eafc30626675bb
    Name: ChromiumDecryption
  • SHA256: f279a3fed5b96214d0e3924eedb85907f44d63c7603b074ea975d1ec2fdde0b4
    Name: WindowsUpdate.dll
  • SHA256: 31376631aec4800de046e1400e948936010d9bbedec91c45ae8013c1b87564d0
    Name: RemoteDesktop.dll
  • SHA256: 5123b066f4b864e83bb14060f473cf5155d863f386577586dd6d2826e20e3988
    Name: RemoteDesktop.dll
  • SHA256: b314836a3ca831fcb068616510572ac32e137ad31ae4b3e506267b429f9129b1
    Name: FileManager.dll
  • SHA256: 5314c7505002cda1e864eced654d132f773722fd621a04ffd84ae9bc0749b791
    Name: TCPConnections.dll
  • SHA256: 33ee1961e302da3abc766480a58c0299b24c6ed8ceeb5803fa857617e37ca96e
    Name: merged.dll
  • SHA256: 2b507d3ae01583c8abf4ca0486b918966643159a7c3ee7adb5f36c7bd2e4d70e
    Name: SystemCheck.Merged.dll
  • SHA256: df0096bd57d333ca140331f1c0d54c741a368593a4aac628423ab218b59bd0bb
    Name: shell.dll
  • SHA256: 0c2bf36dd9ccb3478c8d3dd7912bcfc1f5d910845446e1adfd1e769490287ab4
    Name: Stealer.dll
  • SHA256: 64cbbbf90fe84eda1a8c2f41a4d37b1d60610e7136a02472a72c28b6acadc2fc
    Name: Ransomware.dll
  • SHA256: 6a0c1f70af17bd9258886f997bb43266aa816ff24315050bbf5f0e473d059485
    Name: Rootkit.dll
  • SHA256: 8d04215c281bd7be86f96fd1b24a418ba1c497f5dee3ae1978e4b454b32307a1
    Name: ResetSurvival.dll

元記事: https://gbhackers.com/xworm-v6-variant/

投稿をさらに読み込む