عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج XDigo الخبيث

برنامج XDigo الخبيث

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة تجسس إلكتروني جديدة تتضمن برنامج سرقة بيانات قائم على لعبة Go يُدعى XDigo، والذي تم نشره في مارس 2025 ضد منظمات حكومية في أوروبا الشرقية. يرتبط هذا البرنامج الخبيث بمجموعة التهديدات المستمرة XDSpy، النشطة في المنطقة منذ عام 2011 على الأقل.

عودة XDSpy: عقد من المراقبة

XDSpy هي مجموعة تجسس إلكتروني موثقة جيدًا، تشتهر باستهدافها للوكالات الحكومية في أوروبا الشرقية والبلقان. بعد تحليلها علنًا لأول مرة عام ٢٠٢٠، حافظت XDSpy على نمط نشاط ثابت، مطوّرةً أدواتها ونطاق استهدافها على مر السنين.

وقد استهدفت الحملات الأخيرة المنسوبة إلى المجموعة منظمات في روسيا ومولدوفا، ونشرت عائلات من البرامج الضارة مثل UTask وXDDown وDSDownloader - وهي أدوات مصممة لتنزيل حمولات إضافية وسحب البيانات الحساسة من الأنظمة المصابة.

ثغرات LNK: الخطر الخفي وراء اختصارات Windows

تستخدم حملة XDigo سلسلة هجمات متعددة المراحل تبدأ بملفات اختصار Windows (.LNK)، مستغلة ثغرة تنفيذ التعليمات البرمجية عن بعد في Microsoft Windows يتم تعقبها باسم ZDI-CAN-25373، وتم الكشف عنها علنًا في مارس 2025.

تنشأ هذه الثغرة الأمنية من سوء التعامل مع ملفات LNK المُصممة خصيصًا، مما يسمح للمحتوى الضار بالبقاء غير مرئي في واجهة المستخدم مع استمرار تنفيذ التعليمات البرمجية في سياق المستخدم الحالي. كشف فحص أعمق عن مجموعة فرعية من تسعة ملفات LNK من هذا النوع، مستغلةً خللًا في التحليل ناتجًا عن تطبيق مايكروسوفت الجزئي لمواصفات MS-SHLLINK (الإصدار 8.0).

ارتباك التحليل: المواصفات مقابل التنفيذ

تسمح مواصفات MS-SHLLINK بطول سلاسل نصية يصل إلى 65,535 حرفًا، لكن نظام Windows 11 يحدّ من المحتوى الفعلي إلى 259 حرفًا، باستثناء وسيطات سطر الأوامر. يُؤدي هذا التباين إلى تناقضات في كيفية تفسير ملفات LNK عبر الأنظمة الأساسية.

يستغل المهاجمون هذه الفجوة من خلال إنشاء ملفات LNK تبدو صالحة أو غير صالحة اعتمادًا على المحلل، مما يتيح:

  • تنفيذ الأوامر غير المتوقعة أو المخفية
  • التهرب من الكشف بواسطة واجهة مستخدم Windows وأدوات التحليل التابعة لجهات خارجية

من خلال الجمع بين هذا وتقنيات ملء المسافات البيضاء، يخفي الخصوم بشكل فعال الهدف الحقيقي للاختصار، مما يزيد من فرص التنفيذ الناجح دون تنبيه المستخدمين أو أدوات الأمان.

سلسلة العدوى: أرشيفات ZIP، والطعوم، والتحميل الجانبي لملفات DLL

تم توزيع ملفات LNK الخبيثة التسعة التي تم تحديدها في أرشيفات ZIP، ويحتوي كل منها على أرشيف ZIP آخر يحتوي على:

  • وثيقة PDF وهمية
  • ملف تنفيذي شرعي تمت إعادة تسميته
  • تم تحميل ملف DLL ضار بواسطة الملف الثنائي

يعمل ملف DLL هذا، المسمى ETDownloader، كحمولة المرحلة الأولى المصممة لتنزيل الزرع الرئيسي - XDigo.

XDigo: سارق بيانات متطور

XDigo هو برنامج ضار قائم على Go تم تقييمه على أنه تطور لـ UsrRunVGA.exe، والذي تم توثيقه سابقًا في أكتوبر 2023. وهو مجهز لـ:

  • حصاد الملفات المحلية.
  • التقاط محتوى الحافظة.
  • التقط لقطات للشاشة.
  • تنفيذ الأوامر أو الملفات الثنائية التي تم جلبها من خادم بعيد عبر HTTP GET.
  • استخراج البيانات المسروقة باستخدام طلبات HTTP POST.

تؤكد هذه الوظيفة دور XDigo باعتباره برنامج سرقة موجه للتجسس مصمم لجمع المعلومات بشكل سري.

ملف الهدف والاتساق التكتيكي

أكد المحققون وجود هدف واحد على الأقل في منطقة مينسك، مع وجود دلائل أخرى تشير إلى عمليات تستهدف مجموعات تجزئة روسية، ومؤسسات مالية، وشركات تأمين، وخدمات بريد حكومية. يتوافق هذا التركيز الوثيق لـ XDSpy على أوروبا الشرقية وبيلاروسيا.

تقنيات التهرب والتطور التكتيكي

أثبت XDSpy قدرةً قويةً على التهرب من الدفاعات الحديثة. والجدير بالذكر أن برمجيته الخبيثة كانت أول من حاول التهرب من حلول الحماية المحددة، مما يعكس درجةً عاليةً من التخصيص والقدرة على التكيف استجابةً لتطورات بيئات الأمن.

ملخص: النقاط الرئيسية

تُظهر حملة XDigo مزيجًا متطورًا من التقنيات واستراتيجيات الاستهداف. وقد شملت استغلال ثغرة أمنية في نظام Windows، عُرفت باسم ZDI-CAN-25373، من خلال ملفات LNK مُصممة خصيصًا، إلى جانب التلاعب بتناقضات تحليل LNK لإخفاء النشاط الخبيث. كما اعتمد المهاجمون على التحميل الجانبي لملفات DLL باستخدام ملفات تنفيذية شرعية مُعاد تسميتها لتحميل مكونات خبيثة. وتم إجراء الاتصالات مع البنية التحتية للقيادة والتحكم، واستخراج البيانات المسروقة، عبر بروتوكولات HTTP القياسية، مما أتاح التخفي والتهرب.

من حيث الاستهداف، ركزت الحملة بشكل كبير على الجهات الحكومية، لا سيما في بيلاروسيا وروسيا. كما وسّعت نطاقها ليشمل القطاعين المالي والتجزئة، بالإضافة إلى شركات التأمين الكبرى وخدمات البريد الوطنية. تُبرز هذه العملية الابتكار المستمر للجهات الفاعلة المرتبطة بالتهديدات الحكومية، وتُعزز الحاجة المُلحة للتدقيق، حتى في أنواع الملفات التي تبدو غير ضارة، مثل ملفات LNK، بحثًا عن التهديدات الخفية.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,126
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...