(画像クレジット:Shutterstock)
- XWormがバージョン6.0~6.5で再登場、現在はXCoderToolsの別名で管理
- マルウェアはRAT、ランサムウェア、データ窃取、DoS、35以上のモジュール型プラグインを含む
- TrellixがVirusTotalでのサンプル増加を報告、フィッシングが主な拡散手段のまま
数年前に大混乱を引き起こした悪名高いバックドア型マルウェア「XWorm」は、1年の休止期間を経て再び姿を現したようです。
セキュリティ研究者は、ダークウェブ上で新たに6.0、6.4、6.5の3つのバージョンが確認され、複数の脅威アクターがキャンペーンで利用していることを発見しました。
XWormは2022年にXCoderという脅威アクターによって開発・管理されていました。彼らはかつてTelegramで詳細やアップデートを共有していましたが、その後消息を絶ちました。マルウェアの最後のバージョンはXWorm 5.6で、これはリモートコード実行の脆弱性があったようです。
多数の機能
元の開発者が戻ってきたのか、あるいは別の脅威アクターがツールを引き継いだのかは不明です。いずれにせよ、現在はXCoderToolsという別名で管理されています。
マルウェア自体は、数多くの新機能とモジュール型設計を備えています。
主な機能であるリモートアクセス型トロイの木馬(RAT)としての役割は健在です。また、ランサムウェアモジュール、感染端末からの機密情報の窃取、クリップボードの監視、キーロガー、スクリーンキャプチャ機能も搭載しています。
感染システム上で任意のコマンドを実行したり、ファイルを管理したり、OS情報を取得したり、サービス拒否(DoS)攻撃を仕掛けることも可能です。
合計で35以上のプラグインがターゲットに応じて機能をカスタマイズできるため、XWormは非常に多機能かつ危険なマルウェアとなっています。
サイバー犯罪者は現在、XCoderToolsが宣伝する通り、500ドルの永久サブスクリプションでこのツールを入手可能であり、RCE脆弱性も修正済みと強調されています。
実際に効果が出ているようで、セキュリティ研究者TrellixはVirusTotalへのXWormサンプルのアップロード数が増加していると報告しています。
企業が新たなXWorm攻撃から身を守る最善の方法は、侵害後でも対応できる多層的なセキュリティ対策を導入することです。また、従業員にフィッシングの危険性について教育することも有効です。なぜなら、このワームは主にメール経由で拡散するためです。
