XWormは、バックドア型マルウェアです。
長い期間に渡って開発と拡張が行われてきていたマルウェアです。
XWormの過去のバージョンにV5.6というものがありました。
これはもともとのXWormの開発者が関わった最後のバージョンだと考えられています。
XCoderというマルウェア開発者がいました。
この脅威アクターは長い期間このXWormを公開し続けてきました。
しかし、いろいろな事情が重なったためでしょうか、XCoderは突如アカウントを削除し、公式サポートを終了しました。
そして、V5.6がXWormの最後のバージョンと考えられることとなったのです。
その後、XWorm周辺はカオスとなりました。
マルウェアの開発が終了したような場合、多くの周辺にいる脅威アクターやそういった情報に飢えていた脅威アクター候補が群がります。
その開発の終了したsource codeを入手して、さらなる悪事を狙うということなのでしょう。
実際、多くのマルウェアがそういった道をたどってきています。
しかし、XWormは少し違いました。
XWorm V5.6の改変版(クラック版)の配布を開始した脅威アクターが登場しました。
これらのクラックバージョンには、ダウンロードして展開を試みたアマチュアオペレーターを感染させるマルウェアが含まれていることがありました。
CloudSEKが報告した例のように、トロイの木馬化されたXWormビルダーといったようなものがあふれたのでした。
そして、XWormにRCE(リモートコード実行)の脆弱性があったということも明らかになりました。
その状況を見ていた研究者たちは、XWormの時代は完全に終わったと考えました。
その考えは違っていたようです。
次の段階が来ました。
XCoderToolsという名前で活動する脅威アクターがダークフォーラムの一つに登場し、XWorm V6.0のリリースを案内したのです。
そして、以前に特定されていたRCE脆弱性の修正とその他の重要なアップデートが含まれていると主張しました。
XWormはもともとプラグイン機能を搭載していたのですが、それがさらに拡張されていることがわかりました。
たとえば次のようなプラグインがあることが確認されています。
- RemoteDesktop.dll
被害者の機器でリモートコントロールセッションを有効にします。 - WindowsUpdate.dll, Stealer.dll, Recovery.dll, merged.dll, Chromium.dll and SystemCheck.Merged.dll
被害者機器の資格情報とアプリケーションデータを抽出します。 - FileManager.dll
ファイル システムへのアクセスと操作を許可します。 - Shell.dll
cmd.exeをひそかに実行し、その環境でコマンドを実行します。 - Informations.dll
被害者のマシンに関するシステム情報を収集するために使用されます。 - Webcam.dll
ウェブカメラへのアクセスを通じて感染したシステムを記録または検証します。 - TCPConnections.dll, ActiveWindows.dll, StartupManager.dll
現在アクティブなTCP通信の情報やアクティブなウインドウの情報やスタートアップに設定されたプログラムの情報をC2に送信します。
これらは、ほんの一例です。
XWormには35以上のプラグインが付属しており、RATを操作する脅威アクターは被害者のマシンで様々なタスクを実行できます。
XWormは終わりませんでした。
脅威はさらに拡大して活動を継続しています。
XWorm V6: Exploring Pivotal Plugins
https://www.trellix.com/blogs/research/xworm-v6-exploring-pivotal-plugins/
| この記事をシェア |
|
|---|
