昨年、オリジナル開発者のXCoderがプロジェクトを放棄した後、XWormバックドアの新バージョンがフィッシングキャンペーンで配布されています。
最新のバージョンであるXWorm 6.0、6.4、6.5は、複数の脅威アクターによって採用されているようで、幅広い悪意のある活動を可能にするプラグインをサポートしています。
マルウェア運用者は、これらのモジュールを使ってブラウザやアプリケーションからデータを盗み、リモートデスクトップやシェルアクセスを通じてホストを制御し、ファイルの暗号化や復号化を行うことができます。
XCoderが開発したマルウェアの最後の既知バージョンは5.6で、これはリモートコード実行の脆弱性がありましたが、最近のバージョンではこれが修正されています。
多機能かつ人気
XWormは2022年に初めて観測されたリモートアクセス型トロイの木馬です。そのモジュール型アーキテクチャと広範な機能により、非常に効果的なマルウェアとして評判を得ました。
通常は機密データ(パスワード、暗号通貨ウォレット、金融情報)の収集、キーストロークの記録、クリップボード内の情報の窃取などに使用されます。
しかし、分散型サービス拒否(DDoS)攻撃の実行や他のマルウェアのロードにも利用できます。
XCoderが定期的なアップデートを共有していたTelegramアカウントを削除した後、複数の脅威アクターがマルウェアのクラック版を拡散し始めました。
XWormは非常に人気が高く、ある脅威アクターはこれを餌にして、スキルの低いサイバー犯罪者をバックドアで狙い、データを盗みました。
そのキャンペーンでは18,459件の感染が確認されており、その多くはロシア、アメリカ、インド、ウクライナ、トルコで発生しています。
多様な配布手法
6月以降、サイバーセキュリティ企業Trellixの研究者は、VirusTotalスキャンプラットフォーム上でXWormのサンプルが増加していることを確認しており、これはサイバー犯罪者の間で高い採用率を示しています。
あるフィッシングキャンペーンでは、悪意のあるJavaScriptがPowerShellスクリプトを起動し、Antimalware Scan Interfaceの保護を回避してXWormを展開する手法が使われていました。
出典: Trellix
9月のレポートで研究者は、「XWormマルウェアの感染チェーンは、従来のメールベースの攻撃を超えて追加の手法を含むように進化している」と述べています。
メールや.LNKファイルは依然として一般的な初期アクセス手段ですが、マルウェアは「正規の.exeファイル名を使い、Discordなど無害なアプリケーションを装う」こともあります。
「これは、ソーシャルエンジニアリングと技術的な攻撃手法を組み合わせ、より効果的にする方向へのシフトを示しています」とTrellixは述べています。
他の研究者は、AIをテーマにした誘導や改変されたScreenConnectリモートアクセスツールを使ってXWormを配布するキャンペーンを検出しています。
また、別の研究では、Microsoft Excelファイル(.XLAM)に埋め込まれたシェルコードを通じてXWormを配布するフィッシングキャンペーンの技術的詳細が提供されています。
数十のモジュールの中にランサムウェアの脅威
Trellixの研究者によると、XWormは現在、機密情報の窃取からランサムウェアまで機能を拡張する35以上のプラグインを備えています。
ファイル暗号化機能であるRansomware.dllは、データをロックした後にデスクトップの壁紙、身代金の額、ウォレットアドレス、連絡用メールアドレスを設定できるようにします。
出典: Trellix
暗号化プロセスはシステムファイルやフォルダを避け、%USERPROFILE%やDocuments内のデータに集中し、元のファイルを削除してロックしたデータに.ENC拡張子を追加します。
被害者には、デスクトップに配置されたHTMLファイルでデータ復号の手順が案内されます。詳細にはBTCアドレス、メールID、身代金額が含まれます。
出典: Trellix
Trellixの研究者は、XWormのランサムウェアモジュールと、2021年に初めて観測された.NETベースのNoCryランサムウェアとの間にコードの重複を発見しました。
両者の悪意のあるコードは、初期化ベクトル(IV)および暗号化/復号化キーの生成、暗号化プロセス(AESのCBCモード、4096バイト単位)で同じアルゴリズムを使用しています。
また、両者のマルウェアは解析環境に対して同じ検証セットを実行していることも研究者は確認しています。
ランサムウェアコンポーネント以外にも、TrellixはXWormの14の他のプラグインを分析しています:
- RemoteDesktop.dll: 被害者のマシンとリモートセッションを作成し操作可能にする
- WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged.dll、Chromium.dll、SystemCheck.Merged.dll: 被害者のデータを窃取
- FileManager.dll: オペレーターにファイルシステムへのアクセスと操作機能を提供
- Shell.dll: オペレーターが送信したシステムコマンドを隠れたcmd.exeプロセスで実行
- Informations.dll: 被害者マシンのシステム情報を収集
- Webcam.dll: 被害者を録画するために使用。感染マシンが実際のものであるかをオペレーターが確認するためにも使われる
- TCPConnections.dll、ActiveWindows.dll、StartupManager.dll: アクティブなTCP接続、アクティブウィンドウ、スタートアッププログラムの一覧をそれぞれC2サーバーに送信
研究者によれば、データ窃取モジュールだけでも、XWormオペレーターは35以上のウェブブラウザ、メールクライアント、メッセージングアプリ、FTPクライアント、暗号通貨ウォレットなど複数のアプリケーションからログインデータを盗むことができます。
プラグインは特定の機能を担うため、Trellixは組織に対し、侵害後の悪意ある活動にも対応できる多層防御アプローチを推奨しています。
エンドポイント検知・対応(EDR)ソリューションはXWormのモジュールの挙動を特定でき、積極的なメール・ウェブ保護は初期のマルウェアドロッパーをブロックできます。
さらに、ネットワーク監視ソリューションは、追加プラグインのダウンロードやデータ流出のためのコマンド&コントロールサーバーとの通信を検知できます。
