XWorm V6.0とは
XWormは2022年に初めて確認されたモジュール型のリモートアクセス型トロイの木馬(RAT)であり、コアクライアントとプラグインシステムを使用して、オペレーターが侵害されたホスト上で追加のペイロードを実行できるようにします。
2024年後半にバージョン5.6の利用が急増した後、XWormバージョン6.0が2025年半ばに登場し、脅威アクター「EvilCoder」に関連していると報告されています。XWormは特定の業界に限定されておらず、ドイツ、フランス、英国、オランダ、イタリア、スペイン、ポーランドなどの国々を標的にしていることが確認されています。
初期アクセスは、悪意のあるJavaScriptファイルを含むフィッシングメールによって取得されます。このファイルはPDFのデコイを表示しながらPowerShellスクリプトを実行します。このスクリプトはAMSIを無効化して検出を回避し、XWormクライアントとDLLインジェクターをダウンロードします。
DLLインジェクターはXWormをRegSvcs.exeなどの信頼されたWindowsプロセスに埋め込み、ステルス性を高めます。展開後、マルウェアは新しく定義されたデフォルト暗号化キーを使用してC2インフラストラクチャに接続し、通信を保護します。プラグインはWindowsレジストリから直接ロードされ、不足しているものは動的に取得され、リモートアクセス、データ窃取、ファイル操作、シェル実行、ウェブカメラストリーミング、ランサムウェア展開などの悪意ある活動を可能にします。
ランサムウェアプラグインはAES-CBC暗号化を使用し、システムのビジュアルやレジストリフラグを変更します。永続性のために、XWormはVBSや.wsfスクリプトを使用してスケジュールタスク、レジストリRunキー、ファクトリーリセット構成を作成します。クラックされたビルダー版も使用され、XWormを配布するだけでなく、埋め込みマルウェアを含み、自己複製型の脅威を生み出します。バージョン6.0はILProtectorでパックされたプラグイン、高度なインジェクション技術、階層的な永続性を活用し、非常に回避的かつ耐性があります。
XWorm V6.0は、モジュール型マルウェアがどのように進化し、環境に適応し、組織に長期的なリスクをもたらす持続的で多機能な脅威となるかを示しています。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- Windows環境を最新バージョンに更新し、OEMに従ってパッチを適用し、多要素認証で保護する。
- 包括的で全方位的な脅威評価を実施し、盲点や改善点を明らかにする。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。