Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara XDigo pahavara

XDigo pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

Küberjulgeolekuuurijad on paljastanud uue küberspionaažikampaania, mis hõlmab Go-põhist varastajat nimega XDigo ja mis võeti kasutusele 2025. aasta märtsis Ida-Euroopa valitsusorganisatsioonide vastu. Pahavara on seotud püsiva ohurühmaga XDSpy, mis on piirkonnas tegutsenud vähemalt alates 2011. aastast.

XDSpy tagasitulek: kümnend jälgimist

XDSpy on hästi dokumenteeritud küberspionaažirühmitus, mis on tuntud valitsusasutuste sihtimise poolest Ida-Euroopas ja Balkanil. Esmakordselt avalikult analüüsitud XDSpy on aastate jooksul säilitanud stabiilse tegevusmustri, arendades oma tööriistakomplekti ja sihtimise ulatust.

Hiljutised grupile omistatud kampaaniad on tabanud organisatsioone Venemaal ja Moldovas, juurutades pahavaraperekondi nagu UTask, XDDown ja DSDownloader – tööriistu, mis on loodud nakatunud süsteemidest täiendavate kasulike andmete allalaadimiseks ja tundlike andmete hankimiseks.

LNK ärakasutamine: Windowsi otseteede taga peituv oht

XDigo kampaania kasutab mitmeastmelist rünnakuahelat, mis algab Windowsi otseteefailidega (.LNK), ära kasutades Microsoft Windowsi kaugkoodi käivitamise haavatust, mis on tuvastatud kui ZDI-CAN-25373 ja avalikustati 2025. aasta märtsis.

See haavatavus tuleneb spetsiaalselt loodud LNK-failide valest käitlemisest, mis võimaldab pahatahtlikul sisul jääda kasutajaliideses nähtamatuks, kuid käivitada koodi siiski praeguse kasutaja kontekstis. Edasine uurimine paljastas üheksa sellist LNK-faili, mis kasutavad ära parsimisvea, mille põhjustas Microsofti osaline MS-SHLLINK-i spetsifikatsiooni (v8.0) rakendamine.

Segaduse parsimine: spetsifikatsioon vs. rakendamine

MS-SHLLINK-i spetsifikatsioon lubab stringi pikkust kuni 65 535 tähemärki, kuid Windows 11 piirab tegeliku sisu 259 tähemärgini, erandiks on käsurea argumendid. See ebakõla tekitab vastuolusid LNK-failide tõlgendamisel platvormide vahel.

Ründajad kasutavad seda tühimikku ära, luues LNK-faile, mis tunduvad parserist olenevalt kehtivad või kehtetud, võimaldades:

  • Ootamatute või peidetud käskude täitmine
  • Nii Windowsi kasutajaliidese kui ka kolmandate osapoolte analüüsitööriistade poolt tuvastamise vältimine

Kombineerides seda tühikute lisamise tehnikatega, varjavad vastased otsetee tegelikku eesmärki, suurendades eduka täitmise võimalusi ilma kasutajaid või turvatööriistu hoiatamata.

Nakkusahel: ZIP-arhiivid, peibutised ja DLL-ide külglaadimine

Tuvastatud üheksa pahatahtlikku LNK-faili levitati ZIP-arhiivides, millest igaüks sisaldas teist ZIP-arhiivi, mis sisaldas järgmist:

  • Peibutusmaterjali PDF-dokument
  • Õigustatud käivitatava faili ümbernimetamine
  • Binaarfaili poolt külglaaditud pahatahtlik DLL

See DLL nimega ETDownloader toimib esimese etapi kasuliku koormusena, mis on loodud peamise implantaadi - XDigo - allalaadimiseks.

XDigo: rafineeritud andmete varastaja

XDigo on Go-põhine pahavara implantaat, mida peetakse UsrRunVGA.exe evolutsiooniks ja mis on varem dokumenteeritud 2023. aasta oktoobris. See on varustatud järgmisega:

  • Koguge kohalikke faile.
  • Lõikelaua sisu jäädvustamine.
  • Tehke ekraanipilte.
  • Käivita HTTP GET-i kaudu kaugserverist toodud käske või binaarfaile.
  • Varastatud andmete väljafiltreerimine HTTP POST-päringute abil.

See funktsionaalsus kinnitab XDigo rolli spionaažile orienteeritud varastajana, mis on loodud salajaseks teabe kogumiseks.

Sihtmärgi profiil ja taktikaline järjepidevus

Uurijad on kinnitanud vähemalt ühe sihtmärgi olemasolu Minski oblastis ning täiendavad märgid viitavad operatsioonidele Venemaa jaemüügigruppide, finantsasutuste, kindlustusseltside ja riiklike postiteenuste vastu. See ohvrite käsitlus on tihedalt seotud XDSpy ajaloolise fookusega, eriti Ida-Euroopa ja Valgevene suhtes.

Vältimistehnikad ja taktikaline keerukus

XDSpy on näidanud üles tugevat võimet tänapäevastest kaitsemehhanismidest mööda hiilida. Märkimisväärne on see, et nende pahavara oli esimene, mis üritas konkreetsest liivakastilahendusest mööda hiilida, mis peegeldab suurt kohandatavust ja kohanemisvõimet reageerides arenevatele turvamaastikele.

Kokkuvõte: Peamised järeldused

XDigo kampaania esitleb keerukat tehnikate ja sihtimisstrateegiate kombinatsiooni. See hõlmas Windowsi haavatavuse ZDI-CAN-25373 ärakasutamist spetsiaalselt loodud LNK-failide kaudu, lisaks LNK parsimise ebajärjekindluste manipuleerimisele pahatahtliku tegevuse varjamiseks. Ründajad tuginesid ka DLL-i külglaadimisele, kasutades ümbernimetatud legitiimseid käivitatavaid faile pahatahtlike komponentide laadimiseks. Suhtlus käsu- ja juhtimisinfrastruktuuriga ning varastatud andmete väljafiltreerimine toimus standardsete HTTP-protokollide kaudu, mis võimaldas varjatust ja kõrvalehoidmist.

Sihtrühmana keskendus kampaania suuresti valitsusasutustele, eriti Valgevenes ja Venemaal. Samuti laiendati selle ulatust finants- ja jaemüügisektorile, aga ka suurtele kindlustusseltsidele ja riiklikele postiteenustele. See operatsioon rõhutab riiklike ohuüksuste pidevat innovatsiooni ja kinnitab kriitilist vajadust uurida isegi pealtnäha ohutuid failitüüpe, näiteks LNK-faile, varjatud ohtude suhtes.

Trendikas

Enim vaadatud

Laadimine...