Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер XDigo

Зловреден софтуер XDigo

До Mezo през Зловреден софтуер, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Изследователи по киберсигурност разкриха нова кампания за кибершпионаж, включваща програма за кражба на данни, базирана на Go, наречена XDigo, която е била внедрена през март 2025 г. срещу източноевропейски правителствени организации. Зловредният софтуер е свързан с постоянната група за атаки XDSpy, активна в региона поне от 2011 г.

Завръщането на XDSpy: Десетилетие на наблюдение

XDSpy е добре документирана кибершпионска група, известна с атаките си срещу правителствени агенции в Източна Европа и на Балканите. Първоначално публично анализирана през 2020 г., XDSpy поддържа постоянен модел на активност, развивайки инструментариума си и обхвата си на атаки през годините.

Последните кампании, приписвани на групата, засегнаха организации в Русия и Молдова, внедрявайки семейства злонамерен софтуер като UTask, XDDown и DSDownloader – инструменти, предназначени за изтегляне на допълнителни полезни товари и извличане на чувствителни данни от заразените системи.

LNK експлойти: Скритата опасност зад преките пътища на Windows

Кампанията XDigo използва многоетапна верига от атаки, която започва с файлове с пряк път на Windows (.LNK), експлоатирайки уязвимост за дистанционно изпълнение на код в Microsoft Windows, проследена като ZDI-CAN-25373, публично разкрита през март 2025 г.

Тази уязвимост произтича от неправилно боравене със специално създадени LNK файлове, което позволява на злонамерено съдържание да остане невидимо в потребителския интерфейс, но все пак да изпълнява код в контекста на текущия потребител. По-нататъшна проверка разкри подмножество от девет такива LNK файла, използващи грешка в объркването при парсинг, причинена от частичното внедряване на спецификацията MS-SHLLINK (v8.0) от Microsoft.

Объркване при анализа: Спецификация срещу Имплементация

Спецификацията MS-SHLLINK позволява дължина на низовете до 65 535 знака, но Windows 11 ограничава действителното съдържание до 259 знака, с изключение на аргументите от командния ред. Това несъответствие въвежда несъответствия в начина, по който LNK файловете се интерпретират в различните платформи.

Атакуващите използват тази празнина, като създават LNK файлове, които изглеждат валидни или невалидни в зависимост от парсера, което позволява:

  • Изпълнение на неочаквани или скрити команди
  • Избягване на откриване както от потребителския интерфейс на Windows, така и от инструменти за анализ на трети страни

Чрез комбиниране на това с техники за добавяне на бяло пространство, злонамерените лица ефективно прикриват истинското намерение на пряката команда, увеличавайки шансовете за успешно изпълнение, без да предупреждават потребителите или инструментите за сигурност.

Верига на заразяване: ZIP архиви, примамки и странично зареждане на DLL файлове

Идентифицираните девет злонамерени LNK файла бяха разпространени в ZIP архиви, всеки от които съдържаше друг ZIP архив, включващ:

  • PDF документ-примамка
  • Легитимен изпълним файл, преименуван
  • Злонамерена DLL, заредена странично от двоичния файл

Тази DLL библиотека, наречена ETDownloader, служи като полезен товар от първи етап, предназначен за изтегляне на основния имплант - XDigo.

XDigo: Изтънчен крадец на данни

XDigo е имплант на зловреден софтуер, базиран на Go, оценен като еволюция на UsrRunVGA.exe, документиран по-рано през октомври 2023 г. Той е оборудван за:

  • Събиране на локални файлове.
  • Заснемане на съдържанието на клипборда.
  • Направете екранни снимки.
  • Изпълнявайте команди или двоични файлове, извлечени от отдалечен сървър чрез HTTP GET.
  • Извличане на откраднати данни чрез HTTP POST заявки.

Тази функционалност потвърждава ролята на XDigo като шпионажно ориентиран крадец, предназначен за скрито събиране на информация.

Профил на целта и тактическа последователност

Разследващите са потвърдили поне една цел в района на Минск, като допълнителни признаци сочат към операции срещу руски търговски групи, финансови институции, застрахователни компании и държавни пощенски услуги. Тази виктимология е тясно свързана с историческия фокус на XDSpy, особено върху Източна Европа и Беларус.

Техники за избягване и тактическа изтънченост

XDSpy демонстрира силна способност за заобикаляне на съвременни защити. Забележително е, че техният зловреден софтуер е първият, който се опитва да заобиколи специфично решение за „sandbox“, което отразява висока степен на персонализиране и адаптивност в отговор на променящите се условия на сигурност.

Резюме: Ключови изводи

Кампанията XDigo демонстрира сложна комбинация от техники и стратегии за насочване. Тя включваше експлоатация на уязвимост в Windows, идентифицирана като ZDI-CAN-25373, чрез специално създадени LNK файлове, наред с манипулиране на несъответствията при парсиране на LNK, за да се прикрие злонамерена активност. Атакуващите също така разчитаха на странично зареждане на DLL, като използваха преименувани легитимни изпълними файлове за зареждане на измамни компоненти. Комуникацията с инфраструктурата за командване и контрол и извличането на откраднати данни се осъществяваха по стандартни HTTP протоколи, което позволяваше скритост и избягване.

По отношение на таргетирането, кампанията се фокусира основно върху правителствени организации, особено в Беларус и Русия. Тя разшири обхвата си и до финансовия сектор и търговията на дребно, както и до големи застрахователни компании и национални пощенски услуги. Тази операция подчертава постоянните иновации на свързаните с държавата хакери и засилва критичната необходимост от внимателно проучване дори на пръв поглед безобидни типове файлове, като например LNK файлове, за скрити заплахи.

Тенденция

Най-гледан

Зареждане...