黑客利用 XWorm RAT 攻击脚本小子，感染了18,000 台设备

真*黑吃黑——黑客利用 XWorm RAT 攻击脚本小子，入侵全球 18,000 多台设备并通过基于 Telegram 的 C&C 窃取敏感数据。

CloudSEK 发现了一个涉及XWorm RAT构建器木马化版本的新活动。该恶意软件通过各种渠道传播，包括文件共享服务（如 Mega 和 Upload.ee）、Github 存储库（如 LifelsHex/FastCryptor 和 FullPenetrationTesting/888-RAT）、Telegram 频道（包括 HAX_CRYPT 和 inheritedeu），甚至 Youtube 和其他网站。

此次攻击活动导致全球超过 18,459 台设备遭入侵。被盗数据包括敏感信息，例如浏览器凭据、Discord 令牌、Telegram 数据和受感染设备的系统信息。

CloudSEK 的博客文章，由该公司威胁情报研究员 Vikas Kundu 撰写，他透露：“该构建器为攻击者提供了一种精简的工具来部署和操作功能强大的 RAT，它具有系统侦察、数据泄露和命令执行等高级功能。 ”

威胁者专门分发了经过修改的 XWorm RAT 构建器，以针对缺乏经验的攻击者（又名脚本小子-Script Kiddies）。安装后，恶意软件会从受害者的设备中窃取敏感数据，如浏览器凭据、Discord 令牌、Telegram 数据和系统信息。它还拥有虚拟化检查、修改注册表的能力以及广泛的命令和控制功能等高级功能。

此外，该恶意软件依赖 Telegram 实现其命令和控制功能。它使用机器人令牌和 Telegram API 调用来接收来自攻击者的命令并窃取被盗数据。

研究人员能够识别并利用恶意软件中的“终止开关”功能。此功能用于中断受恶意软件感染的活动设备的操作。但是，这种方法有局限性。离线机器和 Telegram 的速率限制机制阻止了完全中断。

根据调查，研究人员能够将威胁行为者与别名“@shinyenigma”和“@milleniumrat”联系起来。此外，他们还能够识别关联的 GitHub 帐户和 ProtonMail 地址。

值得注意的是，XWorm 已成为持续威胁，乌克兰国家特别通信和信息保护局 (SSSCIP)报告称， 2024 年上半年俄罗斯针对乌克兰的网络行动中使用了 XWorm。

为了防范此类威胁，组织和个人应该使用端点检测和响应 (EDR) 解决方案来检测可疑的网络活动甚至恶意软件识别。

此外，使用入侵检测和防御系统 (IDPS) 进行网络监控可以阻止受感染设备与 Telegram 上的恶意 C&C 服务器之间的通信。阻止访问已知恶意 URL 和强制应用程序白名单等主动措施可以防止下载和执行恶意软件。

• 技术详细分析：https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations