XWorm se ističe kao jedan od najsvestranijih i najaktivnije distribuiranih udaljenih trojanaca za pristup (RAT) u aktuelnom pejzažu prijetnji, te se pozicionirao kao moćno sredstvo u arsenalu sajberkriminalaca.
Ovaj napredni zlonamjerni softver daleko je nadmašio tradicionalne RAT mogućnosti, integrišući napredne funkcije poput keylogginga, pristupa udaljenoj radnoj površini, eksfiltracije podataka i izvršavanja naredbi, što ga čini posebno privlačnim za aktere prijetnji koji teže sveobuhvatnoj kontroli sistema.
Zlonamjerni softver je pokazao izvanrednu prilagodljivost u svojim mehanizmima isporuke, primjenjujući dinamički pristup koji se izmjenjuje kroz više format datoteka i skriptnih jezika radi izbjegavanja detekcije.
Za razliku od uobičajenih zlonamjernih softvera koji se oslanjaju na fiksne lance infekcije, XWorm koristi PowerShell skripte, VBS datoteke, .NET izvršne datoteke, JavaScript, batch skripte, pa čak i Office makronaredbe kao početne vektore napada.
Ova sposobnost mijenjanja oblika značajno komplikuje napore u detekciji i ukazuje na namjernu strategiju za zaobilaženje odbrane krajnjih tačaka i tehnologija za izolaciju (sandboxing).
Nedavne kampanje pokazale su da XWorm cilja organizacije unutar lanca opskrbe softvera i gejming industrije, pri čemu napadači koriste AsyncRAT i XWorm kao zlonamjerni softver početne faze za uspostavljanje upornih uporišta.
Splunk analitičari su identifikovali da ove operacije često kulminiraju u raspoređivanju ransomwarea koristeći procurjele LockBit Black alatke za generisanje, povezujući aktivnosti XWorma sa širim ekosistemima ransomwarea.
Analiza preko 1.000 uzoraka XWorma sa platforme Malware Bazaar otkrila je ponavljajuće phishing teme usredsređene na fakture, potvrde i obavještenja o isporuci, dizajnirane da izgledaju hitno i kritično za poslovanje.
Zajednica za istraživanje prijetnji dokumentovala je sofisticirane tehnike izbjegavanja XWorma, pri čemu su Splunkovi istraživači primijetili sposobnost zlonamjernog softvera da modificira ključne sigurnosne funkcije sistema Windows.
Zlonamjerni softver specifično cilja funkciju AmsiScanBuffer() unutar biblioteke amsi.dll, efikasno onemogućavajući Antimalware Scan Interface koji omogućava sigurnosnom softveru skeniranje skripti i sadržaja u memoriji prije izvršavanja.
Napredno izbjegavanje odbrane kroz manipulaciju na nivou sistema
Najzabrinjavajuća sposobnost XWorma leži u njegovom višeslojnom pristupu izbjegavanju sigurnosnih mehanizama sistema Windows.
Zlonamjerni softver raspoređuje specijalizirane komponente koje sustavno onemogućavaju ključne sisteme nadzora i detekcije putem direktne manipulacije memorijom.
Prva komponenta se fokusira na zaobilaženje AMSI-ja, koristeći sljedeću tehniku za modifikaciju funkcije skeniranja:
“`csharp
IntPtr intPtr = Program.a(Program.d, Program.e);
byte[] array2 = array;
uint num;
Program.c(intPtr, (UIntPtr)((ulong)((long)array2.Length)), 64U, out num);
Program.b(array2, intPtr);
“`
Istovremeno, XWorm raspoređuje drugi mehanizam izbjegavanja koji cilja Event Tracing for Windows (ETW) modificiranjem funkcije EtwEventWrite().
Ova tehnika efektivno zasljepljuje alate za nadzor sistema sprječavajući bilježenje zlonamjernih aktivnosti.
Zlonamjerni softver postiže postojanost kroz više vektora, uključujući registry run ključeve i zakazane zadatke koji referenciraju VBS skripte i batch datoteke smještene u direktoriju %appdata%.
Lanac infekcije pokazuje izvanrednu sofisticiranost u korištenju tehnika ubrizgavanja procesa, specifično ciljajući legitimne Windows procese kao što su Taskmgr, explorer i svchost.
XWorm ubrizgava shellcode u ove procese, istovremeno “hookujući” razne Windows API-je kako bi prikrio svoje prisustvo i održao prikrivene operacije.
Ovaj sveobuhvatan pristup manipulaciji sistemom predstavlja značajan evolucijski korak u mogućnostima RAT-ova, zahtijevajući podjednako sofisticirane strategije detekcije i ublažavanja od strane sigurnosnih timova.