黑客利用 XWorm RAT 攻击脚本小子,感染了18,000 台设备

admin 2025年1月26日23:42:29评论10 views字数 1304阅读4分20秒阅读模式
黑客利用 XWorm RAT 攻击脚本小子,感染了18,000 台设备

真*黑吃黑——黑客利用 XWorm RAT 攻击脚本小子,入侵全球 18,000 多台设备并通过基于 Telegram 的 C&C 窃取敏感数据。

CloudSEK 发现了一个涉及XWorm RAT构建器木马化版本的新活动。该恶意软件通过各种渠道传播,包括文件共享服务(如 Mega 和 Upload.ee)、Github 存储库(如 LifelsHex/FastCryptor 和 FullPenetrationTesting/888-RAT)、Telegram 频道(包括 HAX_CRYPT 和 inheritedeu),甚至 Youtube 和其他网站。

此次攻击活动导致全球超过 18,459 台设备遭入侵。被盗数据包括敏感信息,例如浏览器凭据、Discord 令牌、Telegram 数据和受感染设备的系统信息。

CloudSEK 的博客文章,由该公司威胁情报研究员 Vikas Kundu 撰写,他透露:“该构建器为攻击者提供了一种精简的工具来部署和操作功能强大的 RAT,它具有系统侦察、数据泄露和命令执行等高级功能。 ”

威胁者专门分发了经过修改的 XWorm RAT 构建器,以针对缺乏经验的攻击者(又名脚本小子-Script Kiddies)。安装后,恶意软件会从受害者的设备中窃取敏感数据,如浏览器凭据、Discord 令牌、Telegram 数据和系统信息。它还拥有虚拟化检查、修改注册表的能力以及广泛的命令和控制功能等高级功能。

黑客利用 XWorm RAT 攻击脚本小子,感染了18,000 台设备
从其中一名受害者的设备截取的屏幕截图(通过 CloudSEC)

此外,该恶意软件依赖 Telegram 实现其命令和控制功能。它使用机器人令牌和 Telegram API 调用来接收来自攻击者的命令并窃取被盗数据。

研究人员能够识别并利用恶意软件中的“终止开关”功能。此功能用于中断受恶意软件感染的活动设备的操作。但是,这种方法有局限性。离线机器和 Telegram 的速率限制机制阻止了完全中断。

根据调查,研究人员能够将威胁行为者与别名“@shinyenigma”和“@milleniumrat”联系起来。此外,他们还能够识别关联的 GitHub 帐户和 ProtonMail 地址。

值得注意的是,XWorm 已成为持续威胁,乌克兰国家特别通信和信息保护局 (SSSCIP)报告称, 2024 年上半年俄罗斯针对乌克兰的网络行动中使用了 XWorm。

为了防范此类威胁,组织和个人应该使用端点检测和响应 (EDR) 解决方案来检测可疑的网络活动甚至恶意软件识别。

此外,使用入侵检测和防御系统 (IDPS) 进行网络监控可以阻止受感染设备与 Telegram 上的恶意 C&C 服务器之间的通信。阻止访问已知恶意 URL 和强制应用程序白名单等主动措施可以防止下载和执行恶意软件。

  • 技术详细分析:https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations

原文始发于微信公众号(独眼情报):黑客利用 XWorm RAT 攻击“脚本小子”,感染了18,000 台设备

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月26日23:42:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 XWorm RAT 攻击脚本小子,感染了18,000 台设备http://cn-sec.com/archives/3674743.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息