Лаборатория Netskope Threat Labs обнаружила новые функции в последней версии (5.6) XWorm. Среди них - возможность удаления плагинов и сетевая команда, сообщающая о времени отклика. XWorm - это универсальный инструмент, обнаруженный в 2022 году. Он позволяет злоумышленникам получать доступ к конфиденциальной информации, удаленный доступ и развертывать дополнительные вредоносные программы.
XWorm RAT
Цепочка заражения XWorm начинается с файла сценария Windows (WSF), который, вероятно, передается с помощью фишинга, загружает и выполняет сценарий PowerShell, размещенный на paste.ee, легитимном сайте Pastebin. Этот сценарий PowerShell использует множество методов обфускации, чтобы избежать обнаружения. Он также создает задачу, которая выполняет VBScript с именем VsLabs.vbs по расписанию. Этот VBScript впоследствии запускает пакетный файл VsEnhance.bat, который, в свою очередь, выполняет другой сценарий PowerShell, VsLabsData.ps1. Этот сценарий загружает вредоносную библиотеку DLL через отражающую загрузку кода и внедряет XWorm, идентифицированный как XClient3.exe, в легитимный процесс (RegSvcs.exe). После завершения инъекции загрузчик PowerShell завершается, оставляя запущенным только легитимный процесс.
Связь XWorm с командно-контрольным (C2) сервером осуществляется через сокеты, которые собирают информацию об устройстве жертвы и передают ее злоумышленнику.
Worm поддерживает активное соединение, пингуя C2-сервер каждые 10-15 секунд и проверяя ответ каждую миллисекунду. Конфигурация включает домен и порт C2, а также специфические командные функции, такие как удаление сохраненных плагинов и возможность осуществлять DNS-атаки, изменяя файл hosts жертвы. XWorm также способен проводить атаки типа «распределенный отказ в обслуживании» (DDoS) и делать снимки экрана. Среди злоумышленников, связанных с XWorm, такие известные группы, как NullBulge и TA558, которые ранее уже использовали этот инструмент в своих кампаниях.
Indicators of Compromise
IPv4
- 89.116.164.56
IPv4 Port Combinations
- 89.116.164.56:7000
Domains
- ziadonfire.work.gd
Domain Port Combinations
- ziadonfire.work.gd:7000
URLs
- https://paste.ee/r/MKJrL/0
SHA256
- 182199ae3921c4458c39003a22deb07ea40ec3c4e67d8b3efab42698aab634ec
- 2c6c4cd045537e2586eab73072d790af362e37e6d4112b1d01f15574491296b8
- 400ca77dc7a2b32428a47355c5388ab547ab7c696386c71f3d4abb2869ba66be
- 92baa79ed1e8ccca07666968715b1d517c9e7340505112b41aadef1e7e433a1c
- f1bc5fa7bfa063b32dea6371cc309821201d6122e19b793776f128c42b93957b
