Sürekli gelişen siber tehdit dünyasında, bilgilendirilmiş kalmak sadece bir avantaj değildir; Bu bir zorunluluktur. İlk olarak 2022’de gözlemlenen Xworm, siber suçlulara kötü niyetli aktiviteler için çok yönlü bir araç seti sağlayan son derece etkili bir kötü amaçlı yazılım olarak hızla kötü şöhret kazandı.
Xworm’un modüler tasarımı, çekirdek bir istemcinin ve eklentiler olarak bilinen bir dizi özel bileşen etrafında inşa edilmiştir. Bu eklentiler, temel kötü amaçlı yazılım etkin olduğunda belirli zararlı işlemler yapmak için tasarlanmış ek yüklerdir.
Bu modülerlik, saldırganların veri hırsızlığı ve sistem kontrolünden kalıcı sürveyansa kadar çeşitli hedefler için Xworm’un yeteneklerini kullanmalarını sağlar.
Bu eklentileri anlamak, bu tür yaygın tehditlere karşı korumalarını geliştirmek isteyen siber güvenlik ürünlerinin kuruluşlarını ve müşterilerini koruyan siber güvenlik uzmanları için çok önemlidir.
![Hackforums'ta yapılan gönderi[.]açık.](https://gbhackers.com/wp-content/uploads/2025/10/xworm-1-1024x438.jpg)
Trellix Arc, son yeniden canlanması da dahil olmak üzere Xworm’un evrimi yakından gözlendi. Bu blogda, Xworm V6.0’ı dağıtan bir kampanyayı keşfetmek ve daha da önemlisi, kalıcılık komut dosyası da dahil olmak üzere anahtar eklentileri ve ek yükleri incelemek için yüzeyin ötesine geçeceğiz.
Terk’den kaosa
Xworm’un “Xcoder” liderliğindeki gelişimi, Telegram aracılığıyla paylaşılan düzenli güncellemeler gördü. 2024’ün sonlarında, Xworm V5.6’nın piyasaya sürülmesinden sonra, Xcoder hesaplarını sildi, resmi desteği sona erdirdi ve V5.6’yı varsayılan son sürüm olarak bıraktı.
Sonrasında, tehdit aktörleri, farkında olmayan operatörleri enfekte eden Truva atları ile bağlanmış Cracked V5.6 inşaatçılarını dağıttı. CloudSek ve DMPDump’ın raporları, XSPY adında bir Çince dalı ortaya çıkarken, yapımcıları ve değiştirilmiş dağıtımları detaylandırdı.
V5.6’da kritik bir uzaktan kumanda yürütme güvenlik açığının açıklanmasından ek bir darbe geldi ve C2 şifreleme tuşuna sahip saldırganların laboratuvarlarda doğrulanmış bir istismar – keyfi kod yürütmesini sağladı.
Xworm’un öldüğüne inanan birçok profesyonel başka bir yere dikkat çekti, ancak kötü amaçlı yazılım emekliliği nadiren kalıcı.
4 Haziran 2025’te hackforums.net, “XCodertools” dan Xworm V6.0’ı duyuran ve RCE kusuru ve diğer geliştirmeler için düzeltmeler talep eden bir yazı gördü.
Şüphecilik yükseldi: Xcodertools gerçek yazar mı yoksa Xworm’un itibarını mı sürüyordu? İki telgraf kanalı – biri güncellemeler için, biri tartışma için – kaynaklandı, ancak tekrar tekrar yasaklandı, operatörleri sinyali yansıtmaya itti.
Topluluk videoları yeni özellikler sergiliyor, ancak v6.0’ın meşruiyeti inceleme altında kalıyor. Serbest bırakılmasından bu yana, Xworm V6.0’ın Virustotal tespiti, hızlı tehdit aktörünün benimsenmesini vurguladı.
Enfeksiyon zinciri ve eklenti cephaneliği
Önde gelen bir V6.0 kampanyası, iyi huylu bir PDF yemini görüntülerken bir PowerShell komut dosyasını indiren ve yürüten kötü amaçlı bir JavaScript dosyasıyla başlar.
PowerShell bileşeni, AMSI’yi algılamayı önlemek için devre dışı bırakır, Xworm istemcisini ve bir DLL enjektörünü getirir ve bunları gizli konuşlandırmaya hazırlar.
Enjektör, Xworm’un kodunu regsvcs.exe gibi meşru Windows programlarına yerleştirerek gizli yürütmeyi etkinleştirir.
Etkin olduktan sonra, istemci 94’te C2’ye bağlanır[.]159[.]113[.]64: 4411 yeni bir varsayılan anahtar kullanarak (“<666666>“Vs.”<123456789>”V5.6’da). Çekirdek işlevsellik v5.6’yı yansıtıyor, ancak v6.0, HKCU \ Software kapsamında kayıt defteri girişlerinden yükleyen ILProtector paketli eklentileri tanıtıyor.
Operatörler SHA-256 Hash’in “eklenti” komutları veriyor; Eklentiler “SendPlugin” iş akışını tetikler. Yüklü eklentiler uzak masaüstü, kimlik bilgisi hırsızlığı, dosya yönetimi, kabuk yürütme, başlangıç numaralandırması, TCP kontrolü, web kamerası akışı ve fidye yazılımlarını destekler.
Dikkate değer yükler arasında remotedesktop.dll, stealer.dll, filemanager.dll, shell.dll ve ransomware.dll bulunur. İkincisi, istemci kimliğinin bir SHA-512 karması ile anahtarlanmış AES-CBC dosyalarını şifreler, fidye notlarını ve duvar kağıtlarını bırakır ve şifreleme durumunu izlemek için kayıt defteri bayraklarını ayarlar.
Şifre çözme bu işlemi yansıtır. V6’nın eklenti sayısı 35’i aşıyor ve köklü kurulum için ek modüller ve sızdırılmış V6.4 inşaatçılarında fabrika-reset kalıcılığı.
Kalıcılık ve gelişen tehdit
VBS veya .WSF Dosyaları aracılığıyla teslim edilen kalıcılık komut dosyaları, yeniden yüklemelerde hayatta kalmak için push-button sıfırlamaları için zamanlanmış görevler, kayıt defteri çalıştırma anahtarları ve hatta resetconfig.xml oluşturur.
Operatörler, oturum açma komut dosyalarından yönetici düzeyindeki fabrika sıfırlama kancalarına kadar dört farklı kalıcılık yönteminden yararlanır.
Cracked V6 inşaatçıları, enfekte inşaatçıları daha da dağıtıyor ve inşaatçıların kendilerinin kötü amaçlı yazılımları barındırdığı kendi kendini tanıtan bir riski vurguluyor.
Xworm V6’nın geri dönüşü, hiçbir kötü amaçlı yazılım tehdidinin gerçekten emekli olmadığının altını çiziyor. Modüler eklenti mimarisi ve gelişmiş enjeksiyon teknikleri, imza tabanlı önlemenin ötesinde savunmalar gerektirir.
Çok katmanlı bir duruş esastır: anormal süreç enjeksiyonlarını yakalamak için uç nokta tespiti ve yanıt; ilk damlalıkları engellemek için proaktif e -posta ve web ağ geçitleri; ve C2 iletişimini tespit etmek için sürekli ağ izleme. Bu dinamik tehdit manzarasında, çevik, davranış odaklı güvenlik platformları, rakiplerden bir adım önde kalmanın zorunludur.
IOC
İşte tablo biçiminde sunulan veriler:
| SHA256 | İsim |
|---|---|
| 995869775B9D43ADB7E0B30B30B3462164BCFBEE3ECB4EDA3C436110BD9B905E7BA | Osha_investigation_case_0625oqi685837aw.pdf.js |
| 4CE4DC04639D673F0627AFC678819D1A7F4B65445BA518A151B2E80E910A92C | layoad_1.ps1 |
| 8514a433b50879e2b8c56cf3fd35f341e24fee5290fa530c30fae984b0e16c | Classlibrary7.dll |
| 570e4d52b259b460a17e8e286be64d5bada804bd4757c2475c0e34a73aeb869 | Xwormclient.exe |
| 000185A17254CD8863208D382836EC25DD01596F18E57301355D4A33AC242 | Runshell.exe |
| 4D225AF71D287F1264F3116075386AC2CE9E9CD26FB8C3A938C2BFF50CCA8683 | 000053ab01136548.wsf |
| 760A3D23E8660CF268A3D0EF266E7E1AD835C8B8CE69BFE68765C247753C6B | 00001ef600eebd20.wsf |
| 8106B563E19C946BD76DE7D00F7084F3FC3B435ED07B4757C8DA94C89570864 | win32.exe |
| 1990659a28b2c194293f106e98f5c533fdad91e50fdb1a9590d6b1d2983Ad | chrome_decrypt.dll |
| D46bb31dc93b89d67bfefe144c56356167c9e57e323bfb897eafc3062675bb | Kromdecryption |
| F279a3fed5b96214d0e3924eedb85907f4d63c7603b074ea975d1ec2fde0b4 | Windowsupdate.dll |
| 31376631aec4800de046e1400e948936010d9bbedec91c45ae8013c1b87564d0 | Remotedesktop.dll |
| 5123b066f4b864e83b14060f473cf5155d863f38657586dd6d2826e20e3988 | Remotedesktop.dll |
| B314836A3CA831FCB068616510572AC32E137AD31A4B3E550627B429F9129B1 | Filemanager.dll |
| 5314C7505002CDA1E864ECED654D132F773722FD621A04FFD84AE9BC074B791 | Tcpconnections.dll |
| 33e1961e302da3abc766480a58c029b24c6ed8ceeb5803fa857617e37ca96e | birleştirilmiş.dll |
| 2B507D3E01583C8ABFF4CA0486B918966643159A7C3E7ADB5F36C7BD2E4D70E | SystemCheck.merged.dll |
| Df0096bd57d333ca140331f1c0d54c741a368593a4aac628423ab218b59bd0bbb | Shell.dll |
| 0c2bf36dd9cb3478c8d3dd7912112bcfc1f5d91084546e1add1e769490287ab4 | Stealer.dll |
| 64cbbfff90fe84eda1a8c2f41a4d37b1d60e7136a02472a72c28b6acadc2fc | Ransomware.dll |
| 6A0C1F70AF17BD92586F997BB4326AAA816F243150550AFF5F0E473D059485 | Rootkit.dll |
| 8d04215c281bd7be86f96fd1b24a418ba1c497f5dee3ae1978e4b454b32307a1 | ReseturVival.dll |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.