תוכנה זדונית של XDigo

חוקרי אבטחת סייבר חשפו קמפיין ריגול סייבר חדש הכולל תוכנה זדונית מבוססת גוגל בשם XDigo, אשר נפרסה במרץ 2025 נגד ארגונים ממשלתיים במזרח אירופה. הנוזקה קשורה לקבוצת גורמי האיום המתמשכת XDSpy, הפעילה באזור מאז 2011 לפחות.

שובו של XDSpy: עשור של מעקב

XDSpy היא קבוצת ריגול סייבר מתועדת היטב הידועה במיקוד נגד סוכנויות ממשלתיות ברחבי מזרח אירופה והבלקן. XDSpy, שנותחה לראשונה בפומבי בשנת 2020, שמרה על דפוס פעילות קבוע, תוך פיתוח ערכת הכלים שלה והיקף המיקוד שלה לאורך השנים.

קמפיינים אחרונים המיוחסים לקבוצה פגעו בארגונים ברוסיה ובמולדובה, ופרסו משפחות של תוכנות זדוניות כמו UTask, XDDown ו-DSDownloader - כלים שנועדו להוריד מטענים נוספים ולשאוב נתונים רגישים ממערכות נגועות.

ניצול LNK: הסכנה הנסתרת מאחורי קיצורי דרך של Windows

קמפיין XDigo משתמש בשרשרת תקיפה רב-שלבית שמתחילה בקבצי קיצור דרך של Windows (.LNK), ומנצלת פגיעות של ביצוע קוד מרחוק ב-Microsoft Windows שסומנה כ-ZDI-CAN-25373, שנחשפה בפומבי במרץ 2025.

פגיעות זו נובעת מטיפול לא תקין בקבצי LNK בעלי מבנה מיוחד, המאפשרים לתוכן זדוני להישאר בלתי נראה בממשק המשתמש אך עדיין לבצע קוד בהקשר של המשתמש הנוכחי. בדיקה נוספת חשפה תת-קבוצה של תשעה קבצי LNK כאלה, תוך ניצול פגם בבלבול בניתוח שנגרם על ידי יישום חלקי של מפרט MS-SHLLINK (גרסה 8.0) על ידי מיקרוסופט.

בלבול בניתוח: מפרט לעומת יישום

מפרט MS-SHLLINK מאפשר אורכי מחרוזות של עד 65,535 תווים, אך Windows 11 מגביל את התוכן בפועל ל-259 תווים, כאשר ארגומנטים משורת הפקודה הם היוצא מן הכלל. חוסר התאמה זה יוצר חוסר עקביות באופן שבו קבצי LNK מפורשים בפלטפורמות שונות.

תוקפים מנצלים את הפער הזה על ידי יצירת קבצי LNK שנראים תקינים או לא תקינים בהתאם למנתח, מה שמאפשר:

• ביצוע פקודות בלתי צפויות או נסתרות
• התחמקות מזיהוי על ידי ממשק המשתמש של Windows וכלי ניתוח של צד שלישי

על ידי שילוב של טכניקות ריפוד של רווחים לבנים, יריבים מסתירים ביעילות את הכוונה האמיתית של קיצור הדרך, ומגדילים את הסיכויים לביצוע מוצלח מבלי להתריע למשתמשים או לכלי אבטחה.

שרשרת הדבקה: ארכיוני ZIP, פיתיונות וטעינת צד של קבצי DLL

תשעת קבצי ה-LNK הזדוניים שזוהו הופצו בארכיוני ZIP, כשכל אחד מהם הכיל ארכיון ZIP נוסף שכלל:

• מסמך PDF של פיתיון
• שם קובץ הרצה לגיטימי
• DLL זדוני נטען בצד על ידי קובץ בינארי

קובץ DLL זה, בשם ETDownloader, משמש כמטען בשלב הראשון שנועד להוריד את השתל הראשי - XDigo.

XDigo: גונב נתונים מעודן

XDigo הוא תוכנה זדונית מבוססת Go, המוערכת כהתפתחות של UsrRunVGA.exe, שתועד בעבר באוקטובר 2023. הוא מצויד ב:

• איסוף קבצים מקומיים.
• לכידת תוכן הלוח.
• צלם צילומי מסך.
• ביצוע פקודות או קבצים בינאריים שנלקחו משרת מרוחק באמצעות HTTP GET.
• לחלץ נתונים גנובים באמצעות בקשות HTTP POST.

פונקציונליות זו מאשרת את תפקידה של XDigo כגנב מכוון ריגול שנועד לאיסוף מידע חשאי.

פרופיל מטרה ועקביות טקטית

חוקרים אישרו לפחות יעד אחד באזור מינסק, עם סימנים נוספים המצביעים על פעילות נגד קבוצות קמעונאיות רוסיות, מוסדות פיננסיים, חברות ביטוח ושירותי דואר ממשלתיים. ויקטימולוגיה זו תואמת קשר הדוק עם המיקוד ההיסטורי של XDSpy, במיוחד במזרח אירופה ובלארוס.

טכניקות התחמקות ותחכום טקטי

XDSpy הפגינה יכולת חזקה להתחמק מהגנות מודרניות. ראוי לציין כי התוכנה הזדונית שלהם הייתה הראשונה שניסתה להתחמק מפתרון ארגז חול ספציפי, דבר המשקף רמה גבוהה של התאמה אישית ויכולת הסתגלות בתגובה לנופי אבטחה מתפתחים.

סיכום: נקודות מפתח

קמפיין XDigo מציג שילוב מתוחכם של טכניקות ואסטרטגיות מיקוד. הוא כלל ניצול של פגיעות ב-Windows שזוהתה כ-ZDI-CAN-25373 באמצעות קבצי LNK שעוצבו במיוחד, לצד מניפולציה של חוסר עקביות בניתוח LNK כדי לטשטש פעילות זדונית. תוקפים הסתמכו גם על טעינת DLL בצד השני באמצעות קבצי הרצה לגיטימיים ששמם שונה כדי לטעון רכיבים זדוניים. תקשורת עם תשתית פיקוד ובקרה וחילוץ נתונים גנובים בוצעו באמצעות פרוטוקולי HTTP סטנדרטיים, מה שאפשר התגנבות והתחמקות.

מבחינת מיקוד, הקמפיין התמקד במידה רבה בגופים ממשלתיים, במיוחד בבלארוס וברוסיה. הוא גם הרחיב את טווח ההגעה שלו למגזרים הפיננסיים והקמעונאיים, כמו גם לחברות ביטוח גדולות ולשירותי דואר לאומיים. מבצע זה מדגיש את החדשנות המתמשכת של גורמי איום הקשורים למדינות ומחזק את הצורך הקריטי לבחון אפילו סוגי קבצים שנראים לא מזיקים, כגון קבצי LNK, לאיתור איומים נסתרים.