XWorm, hizmet olarak kötü amaçlı yazılım olan bir RAT’tır (Uzaktan Erişim Truva Atı). İlk kez Temmuz 2022’de keşfedildi ve eski SSCB kökenli olduğu biliniyor.
Kötü amaçlı yazılım, hassas verileri ve kripto para birimini çalmak, DDoS saldırıları başlatmak ve fidye yazılımı dağıtımı gibi birçok şey yapma yeteneğine sahiptir.
Bu kötü amaçlı yazılım, ortaya çıktığı 2022 yılından bu yana birçok güncellemeden geçti ve en son sürümün Ağustos 2023 itibarıyla 5.0 sürümü olduğu biliniyor.
Birçok tehdit aktörü bunu kurbanlara yönelik çok aşamalı saldırılar için kullanıyor. XWorm, .NET çerçevesinde geliştirilmiştir ve çeşitli araçlarla özelleştirilebilir.
XWorm MaaS
Saldırının ilk aşamasında, tehdit aktörleri, açıldığında bir .rtf dosyası yükleyen kötü amaçlı bir Word belgesi içeren bir kimlik avı e-postası gönderir.
Bu dosya, XWorm kötü amaçlı yazılımını kurbanın sistemine indiren bir PowerShell betiğini yürütmek için etkinleştirilen makroların bulunduğu bir Excel sayfası içerir.
Herhangi bir şüpheli eki veya URL’yi ANY.RUN gibi ücretsiz etkileşimli kötü amaçlı yazılım sanal alanında analiz etmek, size anında kesin bir karara varmanızı sağlayabilir.
Ücretsiz Kayıt Ol
XWorm’un çeşitli yetenekleri vardır; bunlar arasında C2 sunucusuyla şifreli iletişim, Bilgi toplama, Hesap Ele Geçirme, Kullanıcı etkinliği izleme, panoya erişim, dosya yönetimi vb. yer alır.
UAC Atlatma ve Kalıcılık
Kötü amaçlı yazılım, Windows sistemlerinde UAC kontrolünü atlamak için ayrıcalıklarını yöneticinin ayrıcalıklarına yükseltmeye çalışır ve bu da kötü amaçlı yazılımın kurbanın izni olmadan değişiklik yapmasına olanak tanır.
Etkilenen sistemlerde kalıcılık sağlamak için, kötü amaçlı yazılım kendisini bilgisayar başlatıldığında çalıştırılan programların başlangıç listesine ekler.
Ek olarak, kötü amaçlı yazılımın bir bilgisayara yüklenmesi durumunda, kötü amaçlı yazılımın yürütülmesini sonlandırması da mümkündür. korumalı alan ortamı.
Ayrıca, bu kötü amaçlı yazılımla ilgili tam bir rapor da mevcuttur. HERHANGİ BİR ÇALIŞMA tarafından yayınlandı yürütme süreci, kod analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağlar.
Uzlaşma Göstergeleri
IP adresleri
- 185.179.218[.]240
- 95.32[.]98.110
- 91[.]107.127.116
Hash’ler
- F1CD899D09E247B9206F04E519E4FD5D3A4EB7E0A47F7577141B7BF71FDD4A60
- C7CE7B4759034BAC5F89F206D0A08F3150CB4D6257F19B0EF02FC3C316D6507D
- 049BC312BB80264BBA937B76BE6293ADCF0FE02A0DC879247DBBB8B7B6E9C051
- 4941D43A0D8ACD464841E158ECD7B460B1B5C203587509E49341F5817674D7E2
- 853141ECAB59614B4BD0E5ECD204A79E5856CD2AAA8464A6084B4C1BA2960610
- D108BD602546078F3BAD759A985C7B3DFB78C5CB0E7DB8A18B97965C74ADD758
- 243AE09600615F482240E4AAD32FC2211FD3EB90E8C13074BC3FB6A2555B2C95
- 36744630552440395CA6062A6A6B6634791193AFC423BD77C9EEA84F210CFB83
- E85F1E70C671DC54747BB12FC11DCF307F027AFFE9529AD153B595F83813FD6A
- 6FB1F9B6610F5F275A70817B8BB93D15B942AF9AB166B94E24305B6F51C5D188
- CC45D38FA00C5AEB33BDF842166460117B5E70B0B4FCF5BB6EF9747EC0B0575F
- 47CFC580A33A5AAA4F3CBA9DCC34DD70D30363155B80B91A70B99F9E6BF8C7FC
- 5AE7320BD89C825ED9335FD5FF35CD53997D7DD6023818080C1F01D6CCE20527
- C91B64D2950DE8B7AC82050BF7DFCFB482974842A0E04B5E89CAF3E7EA1CF207
- B079DD50E4CD9788F984A1F1018984D71D03990C44FBE3089EBE0A595DA4E98A
- 8EAACAB5FAFCC224BC92007B9DC743F854D35C3D57E4688C7699792EA3470C37
- BFD9809A1FD4485F2590BB784D5E4CCC249F04B4E7211BC9728A0FE3C88F2B78
- 18FC313C1C1791643F21892EB9E5D3C50E64390A9A6955560E0C411B9A450509
- 06E3ABEED1BC98ED56D5587E9732C9D39EA41879C250DFF68CE8815953FCF7AD
- B3BA308F3408F979F5159E3C4514CA929BF9ACF23C6C70E2051F867BDC9F150D
Alanlar
swezy.ddns[.]açık
0.tcp.ap[.]ngrok.io
atelilian99.ddns[.]açık
URL’ler
- https://pastebin[.]com/raw/H3wFXmEi:<123456789>
- https://pastebin[.]com/raw/IP:BAĞLANTI NOKTASI:ANAHTAR
- https://pastebin[.]com/raw/yppjG8bz
- https://pastebin[.]com/raw/nAXieb7q
- https://pastebin[.]com/raw/2L3vs8UY
- https://pastebin[.]com/raw/GUtADUQ5
- https://pastebin[.]com/raw/iVUhhYa8
- https://pastebin[.]com/raw/Q2AUANEc
- https://pastebin[.]com/raw/S0j6LcjH
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.