Rabattilbud med flere licenser
Trusseldatabase Malware XDigo-malware

XDigo-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har afdækket en ny cyberspionagekampagne, der involverer en Go-baseret stealer kaldet XDigo, som blev indsat i marts 2025 mod østeuropæiske statslige organisationer. Malwaren er knyttet til den vedvarende trusselsaktørgruppe XDSpy, der har været aktiv i regionen siden mindst 2011.

XDSpys tilbagevenden: Et årti med overvågning

XDSpy er en veldokumenteret cyberspionagegruppe, der er kendt for at målrette sig mod regeringsorganer i Østeuropa og på Balkan. XDSpy, der først blev offentligt analyseret i 2020, har opretholdt et stabilt aktivitetsmønster og udviklet sit værktøjssæt og målretningsomfang gennem årene.

Nylige kampagner, der tilskrives gruppen, har ramt organisationer i Rusland og Moldova og implementeret malware-familier som UTask, XDDown og DSDownler – værktøjer designet til at downloade yderligere nyttelast og suge følsomme data fra inficerede systemer.

LNK-udnyttelser: Den skjulte fare bag Windows-genveje

XDigo-kampagnen anvender en flertrins angrebskæde, der starter med Windows-genvejsfiler (.LNK), og udnytter en sårbarhed i forbindelse med fjernudførelse af kode i Microsoft Windows, der er sporet som ZDI-CAN-25373, offentliggjort i marts 2025.

Denne sårbarhed opstår som følge af forkert håndtering af specialudformede LNK-filer, hvilket gør det muligt for skadeligt indhold at forblive usynligt i brugergrænsefladen, men stadig udføre kode i den aktuelle brugers kontekst. Yderligere inspektion afslørede en delmængde af ni sådanne LNK-filer, der udnyttede en parsing-fejl forårsaget af Microsofts delvise implementering af MS-SHLLINK-specifikationen (v8.0).

Forvirring omkring parsing: Specifikation vs. Implementering

MS-SHLLINK-specifikationen tillader strenglængder på op til 65.535 tegn, men Windows 11 begrænser det faktiske indhold til 259 tegn, med undtagelsen af kommandolinjeargumenter. Denne uoverensstemmelse introducerer uoverensstemmelser i, hvordan LNK-filer fortolkes på tværs af platforme.

Angribere udnytter dette hul ved at lave LNK-filer, der ser gyldige eller ugyldige ud afhængigt af parseren, hvilket muliggør:

  • Udførelse af uventede eller skjulte kommandoer
  • Undgå detektion fra både Windows UI og tredjeparts analyseværktøjer

Ved at kombinere dette med whitespace-padding-teknikker tilslører modstandere effektivt den sande hensigt med genvejen, hvilket øger chancerne for vellykket udførelse uden at advare brugere eller sikkerhedsværktøjer.

Infektionskæde: ZIP-arkiver, lokkefugle og DLL-sideindlæsning

De identificerede ni ondsindede LNK-filer blev distribueret i ZIP-arkiver, der hver især indeholdt et andet ZIP-arkiv, der indeholdt:

  • Et PDF-dokument med lokkefugle
  • En legitim eksekverbar enhedsnavn omdøbt
  • En ondsindet DLL sideloaded af den binære fil

Denne DLL, kaldet ETDownloader, fungerer som en første-trins nyttelast designet til at downloade hovedimplantatet - XDigo.

XDigo: En raffineret datastjæler

XDigo er et Go-baseret malware-implantat, der vurderes at være en videreudvikling af UsrRunVGA.exe, som tidligere blev dokumenteret i oktober 2023. Det er udstyret til at:

  • Indsaml lokale filer.
  • Optag indholdet af udklipsholderen.
  • Tag skærmbilleder.
  • Udfør kommandoer eller binære filer hentet fra en fjernserver via HTTP GET.
  • Eksfiltrér stjålne data ved hjælp af HTTP POST-anmodninger.

Denne funktionalitet bekræfter XDigos rolle som en spionageorienteret tyver designet til skjult informationsindsamling.

Målprofil og taktisk konsistens

Efterforskere har bekræftet mindst ét mål i Minsk-regionen, med yderligere tegn, der peger på operationer mod russiske detailgrupper, finansielle institutioner, forsikringsselskaber og statslige posttjenester. Denne offertologi stemmer tæt overens med XDSpys historiske fokus, især på Østeuropa og Hviderusland.

Undvigelsesteknikker og taktisk sofistikering

XDSpy har vist en stærk evne til at omgå moderne forsvar. Det er værd at bemærke, at deres malware var den første til at forsøge at omgå en specifik sandkasseløsning, hvilket afspejler en høj grad af tilpasningsevne som reaktion på udviklende sikkerhedslandskaber.

Resumé: Vigtigste konklusioner

XDigo-kampagnen præsenterer en sofistikeret blanding af teknikker og målretningsstrategier. Den involverede udnyttelse af en Windows-sårbarhed identificeret som ZDI-CAN-25373 gennem specialudformede LNK-filer, sammen med manipulation af uoverensstemmelser i LNK-parsing for at skjule ondsindet aktivitet. Angribere benyttede sig også af DLL-sideloading ved at bruge omdøbte legitime eksekverbare filer til at indlæse uønskede komponenter. Kommunikation med kommando- og kontrolinfrastruktur og udpakning af stjålne data blev udført via standard HTTP-protokoller, hvilket muliggjorde stealth og undvigelse.

Med hensyn til målretning fokuserede kampagnen stærkt på offentlige enheder, især i Hviderusland og Rusland. Den udvidede også sin rækkevidde til finans- og detailsektoren samt store forsikringsselskaber og nationale posttjenester. Denne operation understreger den vedvarende innovation hos statsligt allierede trusselsaktører og forstærker det kritiske behov for at granske selv tilsyneladende harmløse filtyper, såsom LNK-filer, for skjulte trusler.

Trending

Mest sete

Indlæser...