قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار XDigo

بدافزار XDigo

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT)
ترجمه به:

محققان امنیت سایبری یک کمپین جاسوسی سایبری جدید را کشف کرده‌اند که شامل یک بدافزار سرقت مبتنی بر زبان برنامه‌نویسی Go به نام XDigo است که در مارس ۲۰۲۵ علیه سازمان‌های دولتی اروپای شرقی مستقر شده است. این بدافزار با گروه XDSpy که حداقل از سال ۲۰۱۱ در این منطقه فعال است، مرتبط است.

بازگشت XDSpy: یک دهه نظارت

XDSpy یک گروه جاسوسی سایبری است که به خاطر هدف قرار دادن سازمان‌های دولتی در سراسر اروپای شرقی و بالکان شناخته شده است. XDSpy که اولین بار در سال ۲۰۲۰ به طور عمومی مورد تجزیه و تحلیل قرار گرفت، الگوی فعالیت ثابتی را حفظ کرده و در طول سال‌ها، ابزار و دامنه هدف‌گیری خود را تکامل داده است.

پویش‌های اخیر منتسب به این گروه، سازمان‌هایی را در روسیه و مولداوی هدف قرار داده‌اند و از خانواده‌های بدافزاری مانند UTask، XDDown و DSDownloader استفاده کرده‌اند - ابزارهایی که برای دانلود پی‌لودهای اضافی و استخراج داده‌های حساس از سیستم‌های آلوده طراحی شده‌اند.

اکسپلویت‌های LNK: خطر پنهان پشت میانبرهای ویندوز

کمپین XDigo از یک زنجیره حمله چند مرحله‌ای استفاده می‌کند که با فایل‌های میانبر ویندوز (.LNK) آغاز می‌شود و از یک آسیب‌پذیری اجرای کد از راه دور در مایکروسافت ویندوز با شناسه ZDI-CAN-25373 که در مارس 2025 به‌طور عمومی افشا شد، سوءاستفاده می‌کند.

این آسیب‌پذیری ناشی از مدیریت نادرست فایل‌های LNK دستکاری‌شده‌ی خاص است که به محتوای مخرب اجازه می‌دهد در رابط کاربری نامرئی باقی بماند اما همچنان کد را در زمینه‌ی کاربر فعلی اجرا کند. بررسی‌های بیشتر، زیرمجموعه‌ای از نه فایل LNK از این دست را نشان داد که از یک نقص سردرگمی تجزیه ناشی از پیاده‌سازی ناقص مشخصات MS-SHLLINK (نسخه‌ی ۸.۰) توسط مایکروسافت سوءاستفاده می‌کنند.

سردرگمی در تجزیه: مشخصات در مقابل پیاده‌سازی

مشخصات MS-SHLLINK امکان استفاده از رشته‌هایی با طول حداکثر ۶۵۵۳۵ کاراکتر را فراهم می‌کند، اما ویندوز ۱۱ محتوای واقعی را به ۲۵۹ کاراکتر محدود می‌کند، به استثنای آرگومان‌های خط فرمان. این عدم تطابق، ناهماهنگی‌هایی را در نحوه تفسیر فایل‌های LNK در پلتفرم‌های مختلف ایجاد می‌کند.

مهاجمان با ساخت فایل‌های LNK که بسته به تجزیه‌کننده معتبر یا نامعتبر به نظر می‌رسند، از این شکاف سوءاستفاده می‌کنند و موارد زیر را فعال می‌کنند:

  • اجرای دستورات غیرمنتظره یا پنهان
  • جلوگیری از شناسایی توسط رابط کاربری ویندوز و ابزارهای تحلیل شخص ثالث

با ترکیب این روش با تکنیک‌های پر کردن فضای خالی، مهاجمان عملاً هدف واقعی میانبر را پنهان می‌کنند و شانس اجرای موفقیت‌آمیز آن را بدون هشدار به کاربران یا ابزارهای امنیتی افزایش می‌دهند.

زنجیره آلودگی: آرشیوهای ZIP، طعمه‌ها و بارگذاری جانبی DLL

نه فایل LNK مخرب شناسایی‌شده در آرشیوهای ZIP توزیع شده بودند که هر کدام حاوی یک آرشیو ZIP دیگر بودند که شامل موارد زیر بود:

  • یک سند PDF فریبنده
  • یک فایل اجرایی قانونی که تغییر نام داده شده است
  • یک DLL مخرب که توسط فایل باینری بارگذاری شده است

این DLL که ETDownloader نام دارد، به عنوان یک payload مرحله اول عمل می‌کند که برای دانلود بدافزار اصلی یعنی XDigo طراحی شده است.

XDigo: یک دزد اطلاعات پیشرفته

XDigo یک بدافزار مبتنی بر Go است که به عنوان تکامل یافته UsrRunVGA.exe ارزیابی می‌شود که قبلاً در اکتبر 2023 مستند شده بود. این بدافزار مجهز به موارد زیر است:

  • فایل‌های محلی را جمع‌آوری کنید.
  • محتوای کلیپ‌بورد را ضبط کنید.
  • اسکرین شات بگیرید.
  • دستورات یا فایل‌های باینری دریافتی از یک سرور راه دور از طریق HTTP GET را اجرا کنید.
  • استخراج داده‌های سرقت‌شده با استفاده از درخواست‌های HTTP POST.

این قابلیت، نقش XDigo را به عنوان یک دزد جاسوسی که برای جمع‌آوری مخفیانه اطلاعات طراحی شده است، تأیید می‌کند.

مشخصات هدف و ثبات تاکتیکی

محققان حداقل یک هدف را در منطقه مینسک تأیید کرده‌اند و نشانه‌های بیشتری از عملیات علیه گروه‌های خرده‌فروشی، مؤسسات مالی، شرکت‌های بیمه و خدمات پستی دولتی روسیه وجود دارد. این قربانی‌شناسی با تمرکز تاریخی XDSpy، به‌ویژه بر اروپای شرقی و بلاروس، همخوانی دارد.

تکنیک‌های فرار و پیچیدگی تاکتیکی

XDSpy توانایی بالایی در فرار از سیستم‌های دفاعی مدرن نشان داده است. نکته قابل توجه این است که بدافزار آنها اولین بدافزاری بود که تلاش کرد از یک راهکار خاص sandbox فرار کند، که نشان دهنده درجه بالایی از سفارشی‌سازی و سازگاری در پاسخ به چشم‌اندازهای امنیتی در حال تحول است.

خلاصه: نکات کلیدی

کمپین XDigo ترکیبی پیچیده از تکنیک‌ها و استراتژی‌های هدف‌گیری را به نمایش می‌گذارد. این کمپین شامل سوءاستفاده از یک آسیب‌پذیری ویندوز با نام ZDI-CAN-25373 از طریق فایل‌های LNK دستکاری‌شده‌ی خاص، در کنار دستکاری ناسازگاری‌های تجزیه‌ی LNK برای پنهان کردن فعالیت‌های مخرب بود. مهاجمان همچنین با استفاده از فایل‌های اجرایی قانونی تغییر نام‌یافته برای بارگذاری اجزای مخرب، به بارگذاری جانبی DLL متکی بودند. ارتباط با زیرساخت‌های فرمان و کنترل و استخراج داده‌های سرقت‌شده از طریق پروتکل‌های استاندارد HTTP انجام شد که امکان پنهان‌کاری و فرار را فراهم می‌کرد.

از نظر هدف‌گیری، این کمپین به شدت بر نهادهای دولتی، به ویژه در بلاروس و روسیه، متمرکز بود. همچنین دامنه نفوذ خود را به بخش‌های مالی و خرده‌فروشی و همچنین شرکت‌های بزرگ بیمه و خدمات پستی ملی گسترش داد. این عملیات، نوآوری مداوم عوامل تهدید وابسته به دولت را برجسته می‌کند و نیاز مبرم به بررسی دقیق حتی انواع فایل‌های به ظاهر بی‌ضرر، مانند فایل‌های LNK، برای یافتن تهدیدات پنهان را تقویت می‌کند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,126
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...