XWorm se nametnuo kao jedan od najsvestranijih i najaktivnije distribuiranih trojanaca za daljinski pristup na današnjem tržištu prijetnji, postavši značajno oružje u arsenalu cyberkriminalaca. Ovaj sofisticirani zlonamjerni softver daleko je nadmašio tradicionalne mogućnosti RAT-ova, integrirajući napredne funkcionalnosti poput keylogginga, pristupa udaljenoj radnoj površini, iznošenja podataka i izvršavanja naredbi, što ga čini posebno privlačnim za aktere koji teže sveobuhvatnoj kontroli nad sistemima.
Malware je pokazao izvanrednu prilagodljivost u svojim mehanizmima isporuke, koristeći dinamičan pristup koji izmjenjuje više formata datoteka i skriptnih jezika kako bi izbjegao otkrivanje. Za razliku od uobičajenih zlonamjernih programa koji se oslanjaju na fiksne lance infekcije, XWorm koristi PowerShell skripte, VBS datoteke, .NET izvršne datoteke, JavaScript, batch skripte, pa čak i Office makronaredbe kao početne vektore napada. Ova sposobnost promjene oblika značajno komplicira napore za otkrivanje i ukazuje na namjernu strategiju zaobilaženja obrana krajnjih točaka i tehnologija sandboxinga.
Nedavne kampanje pokazuju da XWorm cilja organizacije unutar lanca opskrbe softverom i gaming industrije, pri čemu napadači koriste i AsyncRAT i XWorm kao zlonamjerni softver prve faze za uspostavljanje trajnih uporišta. Analitičari kompanije Splunk identificirali su da ove operacije često kulminiraju u implementaciji ransomwarea koristeći procurjele alate za izradu LockBit Black, povezujući aktivnosti XWorm-a s širim ekosustavima ransomwarea. Analiza preko 1.000 uzoraka XWorm-a iz Malware Bazaara otkrila je ponavljajuće phishing teme usmjerene na fakture, račune i obavijesti o isporuci, dizajnirane da izgledaju hitno i kritično za poslovanje.
Zajednica za istraživanje prijetnji dokumentirala je XWorm-ove sofisticirane tehnike izbjegavanja, pri čemu su istraživači Splunk-a zabilježili sposobnost zlonamjernog softvera da “zakrpi” kritične sigurnosne funkcije sustava Windows. Konkretno, zlonamjerni softver cilja funkciju AmsiScanBuffer() unutar biblioteke amsi.dll, efektivno onemogućavajući Antimalware Scan Interface koji omogućava sigurnosnom softveru skeniranje skripte i sadržaja u memoriji prije izvršavanja.
**Napredno izbjegavanje obrane kroz manipulaciju na sistemskoj razini**
XWorm-ova najzabrinjavajuća sposobnost leži u njegovom višeslojnom pristupu izbjegavanju sigurnosnih mehanizama sustava Windows. Zlonamjerni softver koristi specijalizirane komponente koje sustavno onemogućavaju ključne sustave nadzora i otkrivanja putem direktne manipulacije memorijom. Prva komponenta fokusira se na zaobilaženje AMSI-ja, koristeći sljedeću tehniku za “zakrpanje” funkcije skeniranja:
“`csharp
IntPtr intPtr = Program.a(Program.d, Program.e);
byte[] array2 = array;
uint num;
Program.c(intPtr, (UIntPtr)((ulong)((long)array2.Length)), 64U, out num);
Program.வுகளில்(array2, intPtr);
“`
Istovremeno, XWorm implementira drugi mehanizam izbjegavanja ciljajući Event Tracing for Windows (ETW) “zakrpavanjem” funkcije EtwEventWrite(). Ova tehnika efektivno “zasljepljuje” alate za nadzor sustava sprječavajući bilježenje zlonamjernih aktivnosti. Zlonamjerni softver postiže postojanost kroz više vektora, uključujući registry run ključeve i zakazane zadatke koji referenciraju VBS skripte i batch datoteke smještene u direktoriju %appdata%.
Lanac infekcije pokazuje izvanrednu sofisticiranost u korištenju tehnika ubrizgavanja procesa, posebno ciljajući legitimne Windows procese kao što su Taskmgr, explorer i svchost. XWorm ubrizgava shellcode u ove procese, istovremeno “kvareći” razne Windows API-je kako bi prikrio svoje prisustvo i održao prikrivene operacije. Ovaj sveobuhvatni pristup manipulaciji sustavom predstavlja značajan napredak u mogućnostima RAT-ova, zahtijevajući jednako sofisticirane strategije za otkrivanje i ublažavanje od strane sigurnosnih timova.
Informacije o ovom zlonamjernom softveru, uključujući i njegove najnovije metode izbjegavanja, objavljene su na internetskoj stranici Cyber Security News. Upozorenje naglašava koliko je XWorm postao aktivan i svestran alat u rukama cyberkriminalaca.
Metodologija napada je dosta složena. Prevaranti koriste razne vrste datoteka i skriptnih jezika, poput PowerShell-a, VBScripta, JavaScripta, pa čak i makronaredbi u Office dokumentima, kako bi zaobišli sigurnosne sustave. To im omogućava da budu vrlo efikasni u skrivanju svojih tragova i napredovanju u sustavu žrtve. Jedna od ključnih tehnika koju XWorm koristi je manipulacija samim sigurnosnim mehanizmima sustava Windows. Konkretno, oni mijenjaju (tzv. “zakrpaju”) kritične funkcije u Windows operativnom sustavu, poput onih koje nadziru skripte (AMSI) i bilježe aktivnosti sustava (ETW). Cilj toga je učiniti sustav “slijepim” za njihove zlonamjerne radnje.
Prevaranti mame žrtve najčešće putem phishing e-mailova koji izgledaju kao legitimne obavijesti o fakturama, primanjima ili isporukama. Ove poruke su dizajnirane da izgledaju hitno i važno za poslovanje, kako bi navele korisnika da otvori zaraženu datoteku ili klikne na zlonamjerni link.
U jednoj od analiziranih kampanja, otkriveno je da XWorm cilja organizacije u sektoru razvoja softvera i igara. Napadači koriste XWorm i slične alate kako bi stekli uporište u sustavima, a kasnije te infekcije često vode do implementacije ransomwarea, poput onog izvedenog pomoću alata povezanih s LockBit Black. Ovo ukazuje na povezanost XWorm-a s širim cyberkriminalnim operacijama. Nakon početne infekcije, XWorm koristi napredne tehnike ubrizgavanja koda u legitimne Windows procese, poput Taskmgr ili explorer.exe, kako bi se neprimjetno sakrio i obavljao svoje maliciozne aktivnosti, poput krađe podataka ili daljinskog upravljanja računalom.
