Point Wildの脅威インテリジェンスアーキテクトが、現代的なXWorm V7.4感染パイプラインを綿密にマッピングし、一見無害なPythonベースのインストールパッケージがいかに体系的に強力なリモート管理ツール(implant)に変異するかを実証しました。この特定のアーキテクチャ設計に固有の最大の危険性は、その計算された回避能力にあります。マルウェアは攻撃機能を即座にブロードキャストせず、代わりにホスト環境を段階的に調整して、主要な実行ペイロードの秘密の初期化を促進することを選択しています。
分析者はPyInstallerフレームワーク経由でカプセル化された疑わしいコンパイル済みバイナリを精査しました。フォレンジック展開手順に従った後、ランダム化された命名法BA4Q6ACPMNrd980FwZn9iEbEqkjvRmw7FhW.pycを持つコンパイル済みPythonモジュールを分離しました。深層的な文字列とロジック分析により、基礎となるソースコードの実質的な部分が専ら囮の抽象化レイヤーとして機能する一方、本当の悪意のあるロジックはXWormをブートストラップするために設計されたマルチティアの読み込みシーケンスを調整していることが明らかになりました。
ローダーはランタイムで本来のWindows APIポインタを動的に解決し、高シグナルシステム呼び出しが静的文字列テーブルに完全に存在しないことを保証する戦術的な難読化操作です。その後、ステージャーはAmsiScanBufferルーチンのアクティブメモリ空間を操作し、Microsoft Antimalware Scan Interface(AMSI)の可視性を効果的に逆転させ、スクリプト実行とメモリ内バイト配列の監査を担当する隣接するエンドポイントセキュリティソリューションを無効にします。このペリメータガードレールを正常に無効化した後、悪意のあるコードは暗号化ブロックから組み込み実行可能ファイルを抽出し、暗号文を復号化し、zlibを介してアーティファクトを展開し、Win.Kernel_Svc_AJ8iOw.exeという偽装のidentityの下で%LOCALAPPDATA%ディレクトリパスにステージングします。
ローカルファイルシステムへのフォレンジック署名を最小化するために、ローダーはプログラム的にHiddenとSystemファイル属性を新たに現れたバイナリに割り当て、同時に可視コンソールビューポートのない背景でプロセスを生成します。Point Wildによるフォレンジック検証により、復活したファイルが内部ビルド記述子afacan313131.exeの下で追跡される.NETコンパイルアセンブリを構成し、XWorm V7.4の系統に明示的にマップされていることが確立されました。
その後の技術的な初期対応により、XWormがその中核となる運用構成を暗号化保護レイヤー内に隠蔽し、AESアルゴリズムを武器化してターゲットコマンドアンドコントロール(C2)サーバー、宛先ポート、および暗号化ハンドシェイクキーを管理する重要なメタデータを保護していることが確認されました。分析されたサンプルには、ネットワーク宛先tcp://68[.]219[.]64[.]89:4444を指すハードコードされたマーカーが含まれていました。実行時に、トロイの木馬は管理特権状態、物理ハードウェア構成、アクティブなビデオキャプチャペリフェラル、およびローカライズされたマルウェア対策ソフトウェアスイートの存在を包含するホストテレメトリを積極的に収集します。implantはその後、ローカルユーザー名、ホストマシン文字列、CPUコア割り当て、および基礎となるオペレーティングシステムビルドメトリクスを複合させることによって計算された一意の被害者識別子を合成します。
XWormはリモートディレクティブの堅牢な配列に対する包括的なサポートを特徴とし、オペレータが任意のバイナリを実行し、低レベルシェルコマンドを実行し、補足機能サブモジュールをフェッチし、自己削除コマンドを開始し、上流ソフトウェアアップデートをダウンロード、またはホストを調整されたDistributed Denial of Service(DDoS)キャンペーンに動員することを可能にします。さらに、.NETリフレクションを利用する専門的なモジュールフレームワークにより、アーキテクチャは機能的なプラグインをボラティルメモリバッファ内に直接注入および実行することができます。このファイルレスオーケストレーションはセキュリティツールによる検出を大きく複雑にし、脅威アクターがストレージメディアに新しい物理アーティファクトを書き込むことなく、攻撃されたエンドポイントの運用機能をシームレスに拡張することを可能にします。
Point Wildはこの専門的な配信チェーンを現代的で洗練されたマルウェア配布戦略と一致させており、PyInstallerはますますローダーを無害なエンタープライズソフトウェアアプリケーションとして隠蔽するために武器化されています。アナリストセルは初期侵害の主要なベクトルをスピアフィッシング添付ファイル、偽装的なソフトウェアアップデート、トロイの木馬化されたユーティリティインストーラー、悪意のあるドライブバイWebダウンロード、およびアンダーグラウンドフォーラムまたはインスタントメッセージングネットワーク全体で循環する圧縮アーカイブに分離しています。
