Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware XDigo

Malware XDigo

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou kyberšpionážní kampaň zahrnující zloděje kódu Go s názvem XDigo, který byl v březnu 2025 nasazen proti východoevropským vládním organizacím. Malware je spojen s perzistentní skupinou hackerů XDSpy, která je v regionu aktivní nejméně od roku 2011.

Návrat XDSpy: Deset let sledování

XDSpy je dobře zdokumentovaná kybernetická špionážní skupina známá svými útoky na vládní agentury ve východní Evropě a na Balkáně. XDSpy, která byla poprvé veřejně analyzována v roce 2020, si udržuje stabilní vzorec aktivit a v průběhu let vyvíjí své nástroje a rozsah cílení.

Nedávné kampaně připisované této skupině zasáhly organizace v Rusku a Moldavsku a nasazovaly malwarové rodiny jako UTask, XDDown a DSDownloader – nástroje určené ke stahování dalších dat a odčerpávání citlivých dat z infikovaných systémů.

Zneužití LNK: Skryté nebezpečí za zkratkami ve Windows

Kampaň XDigo využívá vícestupňový útočný řetězec, který začíná soubory zástupců systému Windows (.LNK) a zneužívá zranitelnost umožňující vzdálené spuštění kódu v systému Microsoft Windows, která byla sledována jako ZDI-CAN-25373 a byla veřejně zveřejněna v březnu 2025.

Tato zranitelnost vyplývá z nesprávného zacházení se speciálně vytvořenými soubory LNK, což umožňuje, aby škodlivý obsah zůstal v uživatelském rozhraní neviditelný, ale přesto spouštěl kód v kontextu aktuálního uživatele. Další kontrola odhalila podmnožinu devíti takových souborů LNK, které zneužívají chybu v parsování způsobenou částečnou implementací specifikace MS-SHLLINK (v8.0) společností Microsoft.

Zmatek při analýze: Specifikace vs. implementace

Specifikace MS-SHLLINK umožňuje délku řetězců až 65 535 znaků, ale systém Windows 11 omezuje skutečný obsah na 259 znaků, s výjimkou argumentů příkazového řádku. Tato neshoda způsobuje nekonzistenci v interpretaci souborů LNK napříč platformami.

Útočníci tuto mezeru zneužívají k vytváření souborů LNK, které se v závislosti na analyzátoru jeví jako platné nebo neplatné, což umožňuje:

  • Provádění neočekávaných nebo skrytých příkazů
  • Vyhýbání se detekci jak uživatelským rozhraním systému Windows, tak i analytickými nástroji třetích stran

Kombinací tohoto postupu s technikami vyplňování bílými znaky útočníci efektivně zakrývají skutečný záměr zkratky a zvyšují tak šance na úspěšné provedení, aniž by upozornili uživatele nebo bezpečnostní nástroje.

Řetězec infekce: ZIP archivy, návnady a boční načítání DLL

Devět identifikovaných škodlivých souborů LNK bylo distribuováno v ZIP archivech, z nichž každý obsahoval další ZIP archiv, který obsahoval:

  • Návnadový PDF dokument
  • Legitimní spustitelný soubor přejmenovaný
  • Škodlivá knihovna DLL načtená binárním souborem

Tato DLL s názvem ETDownloader slouží jako první fáze datové zátěže určené ke stažení hlavního implantátu - XDigo.

XDigo: Vylepšený kradlík dat

XDigo je malware založený na platformě Go, který je považován za vývojovou variantu souboru UsrRunVGA.exe, dříve zdokumentovaného v říjnu 2023. Je vybaven k:

  • Sbírejte lokální soubory.
  • Zachytit obsah schránky.
  • Pořiďte snímky obrazovky.
  • Spouštět příkazy nebo binární soubory načtené ze vzdáleného serveru pomocí HTTP GET.
  • Získejte ukradená data pomocí HTTP POST požadavků.

Tato funkce potvrzuje roli XDiga jakožto špionážně orientovaného zloděje určeného pro nenápadný sběr informací.

Profil cíle a taktická konzistence

Vyšetřovatelé potvrdili nejméně jeden cíl v Minské oblasti a další náznaky naznačují operace namířené proti ruským maloobchodním skupinám, finančním institucím, pojišťovnám a vládním poštovním službám. Tato viktimologie úzce souvisí s historickým zaměřením XDSpy, zejména na východní Evropu a Bělorusko.

Techniky úhybných manévrů a taktická sofistikovanost

XDSpy prokázal silnou schopnost obcházet moderní obranu. Je pozoruhodné, že jejich malware byl prvním, který se pokusil obcházet specifické sandboxové řešení, což odráží vysoký stupeň přizpůsobitelnosti a adaptability v reakci na vyvíjející se bezpečnostní prostředí.

Shrnutí: Klíčové poznatky

Kampaň XDigo představuje sofistikovanou kombinaci technik a strategií cílení. Zahrnovala zneužití zranitelnosti systému Windows identifikované jako ZDI-CAN-25373 prostřednictvím speciálně vytvořených souborů LNK a manipulaci s nekonzistencemi při analýze LNK za účelem zakrytí škodlivé aktivity. Útočníci se také spoléhali na boční načítání DLL pomocí přejmenovaných legitimních spustitelných souborů k načítání falešných komponent. Komunikace s infrastrukturou velení a řízení a exfiltrace ukradených dat probíhaly přes standardní protokoly HTTP, což umožňovalo nenápadnost a úniky.

Pokud jde o cílení, kampaň se silně zaměřila na vládní subjekty, zejména v Bělorusku a Rusku. Rozšířila také svůj dosah na finanční a maloobchodní sektor, stejně jako na velké pojišťovny a státní poštovní služby. Tato operace podtrhuje neustálé inovace státních aktérů hrozeb a posiluje kritickou potřebu zkoumat i zdánlivě neškodné typy souborů, jako jsou soubory LNK, a hledat skryté hrozby.

Trendy

Nejvíce shlédnuto

Načítání...