Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma XDigo-haittaohjelma

XDigo-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet uuden kybervakoilukampanjan, johon liittyy Go-pohjainen varastaja nimeltä XDigo. Haittaohjelma otettiin käyttöön maaliskuussa 2025 itäeurooppalaisia valtiollisia organisaatioita vastaan. Haittaohjelma on yhteydessä itsepintaiseen uhkatoimijaryhmään XDSpy, joka on toiminut alueella ainakin vuodesta 2011 lähtien.

XDSpyn paluu: Vuosikymmen valvontaa

XDSpy on hyvin dokumentoitu kybervakoiluryhmä, joka tunnetaan Itä-Euroopan ja Balkanin valtion virastoihin kohdistuvista iskuistaan. Vuonna 2020 ensimmäisen kerran julkisesti analysoitu XDSpy on ylläpitänyt tasaista toimintamallia kehittäen työkalupakkiaan ja kohdistaen hyökkäyksiään laajemmalle vuosien varrella.

Ryhmään liitetyt viimeaikaiset kampanjat ovat iskineet organisaatioihin Venäjällä ja Moldovassa ottamalla käyttöön haittaohjelmaperheitä, kuten UTask, XDDown ja DSDownloader – työkaluja, jotka on suunniteltu lataamaan lisää hyötykuormia ja siirtämään arkaluonteisia tietoja tartunnan saaneista järjestelmistä.

LNK:n hyödyntämisvinkit: Windowsin pikakuvakkeiden takana piilevä vaara

XDigo-kampanja käyttää monivaiheista hyökkäysketjua, joka alkaa Windowsin pikakuvakkeista (.LNK) hyödyntäen Microsoft Windowsin etäkoodin suorittamisen haavoittuvuutta, joka tunnistettiin nimellä ZDI-CAN-25373 ja joka paljastettiin julkisesti maaliskuussa 2025.

Tämä haavoittuvuus johtuu erityisesti muotoiltujen LNK-tiedostojen virheellisestä käsittelystä, jonka seurauksena haitallinen sisältö pysyy näkymättömänä käyttöliittymässä, mutta silti suorittaa koodia nykyisen käyttäjän kontekstissa. Lisätutkimuksissa paljastui yhdeksän tällaista LNK-tiedostoa, jotka hyödyntävät Microsoftin MS-SHLLINK-spesifikaation (v8.0) osittaisen toteutuksen aiheuttamaa jäsennykseen liittyvää sekaannusta.

Jäsennyssekaannus: Määrittely vs. toteutus

MS-SHLLINK-spesifikaatio sallii jopa 65 535 merkin pituiset merkkijonot, mutta Windows 11 rajoittaa varsinaisen sisällön 259 merkkiin, komentoriviargumenttien ollessa poikkeus. Tämä ristiriita aiheuttaa epäjohdonmukaisuuksia LNK-tiedostojen tulkinnassa eri alustojen välillä.

Hyökkääjät hyödyntävät tätä aukkoa luomalla LNK-tiedostoja, jotka näyttävät kelvollisilta tai virheellisiltä jäsentimestä riippuen, mahdollistaen:

  • Odottamattomien tai piilotettujen komentojen suorittaminen
  • Välttää sekä Windowsin käyttöliittymän että kolmannen osapuolen analyysityökalujen havaitsemisen

Yhdistämällä tämän välilyöntien täyttötekniikoihin hyökkääjät peittävät tehokkaasti oikotien todellisen tarkoituksen, mikä lisää onnistuneen suorituksen mahdollisuuksia varoittamatta käyttäjiä tai tietoturvatyökaluja.

Tartuntaketju: ZIP-arkistot, houkutustiedostot ja DLL-sivulataus

Yhdeksän tunnistettua haitallista LNK-tiedostoa jaettiin ZIP-arkistoissa, joista jokainen sisälsi toisen ZIP-arkiston, joka sisälsi:

  • Houkuttimen PDF-dokumentti
  • Laillinen suoritettava tiedosto nimettiin uudelleen
  • Binääritiedoston sivulataama haitallinen DLL

Tämä DLL-tiedosto nimeltä ETDownloader toimii ensimmäisen vaiheen hyötykuormana, joka on suunniteltu lataamaan pääimplantin, XDigon.

XDigo: Hienostunut tiedonvarastaja

XDigo on Go-pohjainen haittaohjelma, jonka on arvioitu olevan UsrRunVGA.exe:n kehitysaskel, josta on aiemmin raportoitu lokakuussa 2023. Se on varustettu seuraavilla ominaisuuksilla:

  • Haravoi paikallisia tiedostoja.
  • Tallenna leikepöydän sisältö.
  • Ota kuvakaappauksia.
  • Suorita etäpalvelimelta HTTP GET -komennon kautta noudettuja komentoja tai binäärejä.
  • Purkaa varastettuja tietoja HTTP POST -pyyntöjen avulla.

Tämä toiminnallisuus vahvistaa XDigon roolin vakoiluun suuntautuneena varastajana, joka on suunniteltu salaa tiedonkeruuseen.

Kohdeprofiili ja taktinen johdonmukaisuus

Tutkijat ovat vahvistaneet ainakin yhden kohteen Minskin alueella, ja lisää merkkejä viittaa operaatioihin venäläisiä vähittäiskaupparyhmiä, rahoituslaitoksia, vakuutusyhtiöitä ja valtion postipalveluita vastaan. Tämä uhritutkimus on läheisessä linjassa XDSpy:n historiallisen painopisteen kanssa, erityisesti Itä-Eurooppaan ja Valko-Venäjään.

Väistötekniikat ja taktinen hienostuneisuus

XDSpy on osoittanut vahvan kyvyn kiertää nykyaikaisia puolustusmenetelmiä. Merkittävää on, että heidän haittaohjelmansa oli ensimmäinen, joka yritti kiertää tietyn hiekkalaatikkoratkaisun, mikä heijastaa korkeaa räätälöitävyyttä ja sopeutumiskykyä vastauksena kehittyviin tietoturvaympäristöihin.

Yhteenveto: Keskeiset tiedot

XDigo-kampanjassa käytettiin hienostunutta yhdistelmää tekniikoita ja kohdistusstrategioita. Siihen sisältyi Windows-haavoittuvuuden ZDI-CAN-25373 hyödyntäminen erityisesti muotoiltujen LNK-tiedostojen avulla sekä LNK-tiedostojen jäsentämisen epäjohdonmukaisuuksien manipulointi haitallisen toiminnan peittämiseksi. Hyökkääjät käyttivät myös DLL-sivulatausta käyttämällä uudelleennimettyjä laillisia suoritettavia tiedostoja haitallisten komponenttien lataamiseen. Kommunikointi komento- ja hallintainfrastruktuurin kanssa ja varastettujen tietojen vuotaminen tapahtuivat tavallisten HTTP-protokollien kautta, mikä mahdollisti piilotuksen ja väistötoiminnan.

Kohdentamisen osalta kampanja keskittyi voimakkaasti valtion yksiköihin, erityisesti Valko-Venäjällä ja Venäjällä. Se laajensi toimintaansa myös rahoitus- ja vähittäiskauppasektoreille sekä suuriin vakuutusyhtiöihin ja kansallisiin postipalveluihin. Tämä operaatio korostaa valtioiden liittoutumien uhkatoimijoiden jatkuvaa innovointia ja vahvistaa kriittistä tarvetta tutkia tarkasti jopa näennäisesti harmittomia tiedostotyyppejä, kuten LNK-tiedostoja, piilevien uhkien varalta.

Trendaavat

Eniten katsottu

Ladataan...