XDigo मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एक नए साइबर जासूसी अभियान का खुलासा किया है जिसमें गो-आधारित चोर XDigo शामिल है, जिसे मार्च 2025 में पूर्वी यूरोपीय सरकारी संगठनों के खिलाफ तैनात किया गया था। मैलवेयर लगातार खतरा पैदा करने वाले समूह XDSpy से जुड़ा है, जो कम से कम 2011 से इस क्षेत्र में सक्रिय है।

XDSpy की वापसी: निगरानी का एक दशक

XDSpy एक अच्छी तरह से प्रलेखित साइबर जासूसी समूह है जो पूर्वी यूरोप और बाल्कन में सरकारी एजेंसियों को लक्षित करने के लिए जाना जाता है। 2020 में पहली बार सार्वजनिक रूप से विश्लेषण किए जाने के बाद, XDSpy ने गतिविधि का एक स्थिर पैटर्न बनाए रखा है, पिछले कुछ वर्षों में अपने टूलकिट और लक्ष्यीकरण के दायरे को विकसित किया है।

इस समूह से संबंधित हाल के अभियानों ने रूस और मोल्दोवा के संगठनों को प्रभावित किया है, जिनमें UTask, XDDown और DSDownloader जैसे मैलवेयर परिवारों को तैनात किया गया है - ये उपकरण अतिरिक्त पेलोड डाउनलोड करने और संक्रमित प्रणालियों से संवेदनशील डेटा निकालने के लिए डिजाइन किए गए हैं।

एलएनके एक्सप्लॉइट्स: विंडोज शॉर्टकट के पीछे छिपा खतरा

XDigo अभियान एक बहु-चरणीय हमला श्रृंखला का उपयोग करता है जो विंडोज शॉर्टकट फ़ाइलों (.LNK) से शुरू होता है, जो Microsoft Windows में रिमोट कोड निष्पादन भेद्यता का शोषण करता है जिसे ZDI-CAN-25373 के रूप में ट्रैक किया जाता है, जिसका सार्वजनिक रूप से मार्च 2025 में खुलासा किया गया था।

यह भेद्यता विशेष रूप से तैयार की गई LNK फ़ाइलों के अनुचित संचालन से उत्पन्न होती है, जिससे दुर्भावनापूर्ण सामग्री उपयोगकर्ता इंटरफ़ेस में अदृश्य बनी रहती है लेकिन फिर भी वर्तमान उपयोगकर्ता के संदर्भ में कोड निष्पादित करती है। आगे की जाँच से नौ ऐसी LNK फ़ाइलों का एक उपसमूह सामने आया, जो Microsoft के MS-SHLLINK विनिर्देश (v8.0) के आंशिक कार्यान्वयन के कारण होने वाली पार्सिंग भ्रम दोष का फायदा उठाती हैं।

पार्सिंग भ्रम: विनिर्देशन बनाम कार्यान्वयन

MS-SHLLINK विनिर्देश 65,535 वर्णों तक की स्ट्रिंग लंबाई की अनुमति देता है, लेकिन Windows 11 वास्तविक सामग्री को 259 वर्णों तक सीमित करता है, जिसमें कमांड-लाइन तर्क अपवाद हैं। यह बेमेल LNK फ़ाइलों को प्लेटफ़ॉर्म पर व्याख्या करने के तरीके में असंगतताएँ पेश करता है।

हमलावर इस अंतर का फायदा उठाते हुए LNK फाइलें बनाते हैं जो पार्सर के आधार पर वैध या अवैध प्रतीत होती हैं, जिससे यह संभव होता है:

• अप्रत्याशित या छुपे हुए आदेशों का निष्पादन
• विंडोज यूआई और तृतीय-पक्ष विश्लेषण उपकरणों दोनों द्वारा पता लगाने से बचना

इसे रिक्त स्थान पैडिंग तकनीकों के साथ संयोजित करके, विरोधी शॉर्टकट के वास्तविक उद्देश्य को प्रभावी रूप से अस्पष्ट कर देते हैं, जिससे उपयोगकर्ताओं या सुरक्षा उपकरणों को सचेत किए बिना सफल निष्पादन की संभावना बढ़ जाती है।

संक्रमण श्रृंखला: ज़िप अभिलेखागार, डिकॉय, और DLL साइडलोडिंग

पहचानी गई नौ दुर्भावनापूर्ण LNK फाइलें ZIP अभिलेखागार में वितरित की गईं, जिनमें से प्रत्येक में एक अन्य ZIP अभिलेखागार शामिल था, जिसमें निम्नलिखित शामिल थे:

• एक नकली पीडीएफ दस्तावेज़
• एक वैध निष्पादनयोग्य का नाम बदला गया
• बाइनरी द्वारा साइडलोड किया गया एक दुर्भावनापूर्ण DLL

ETDownloader नामक यह DLL, मुख्य इम्प्लांट - XDigo को डाउनलोड करने के लिए डिज़ाइन किए गए प्रथम-चरण पेलोड के रूप में कार्य करता है।

XDigo: एक परिष्कृत डेटा चोर

XDigo एक Go-आधारित मैलवेयर इम्प्लांट है जिसे UsrRunVGA.exe का विकास माना जाता है, जिसे पहले अक्टूबर 2023 में प्रलेखित किया गया था। यह निम्न के लिए सुसज्जित है:

• स्थानीय फ़ाइलें एकत्रित करें.
• क्लिपबोर्ड सामग्री कैप्चर करें.
• स्क्रीनशॉट लें.
• HTTP GET के माध्यम से दूरस्थ सर्वर से प्राप्त कमांड या बाइनरीज़ को निष्पादित करें।
• HTTP POST अनुरोधों का उपयोग करके चुराए गए डेटा को बाहर निकालें।

यह कार्यक्षमता XDigo की भूमिका की पुष्टि करती है, जो एक जासूसी-उन्मुख चोर है, जिसे गुप्त रूप से सूचना एकत्र करने के लिए डिज़ाइन किया गया है।

लक्ष्य प्रोफ़ाइल और सामरिक स्थिरता

जांचकर्ताओं ने मिन्स्क क्षेत्र में कम से कम एक लक्ष्य की पुष्टि की है, साथ ही रूसी खुदरा समूहों, वित्तीय संस्थानों, बीमा कंपनियों और सरकारी डाक सेवाओं के खिलाफ़ संचालन की ओर इशारा करते हुए और भी संकेत मिले हैं। यह पीड़ित विज्ञान XDSpy के ऐतिहासिक फ़ोकस, विशेष रूप से पूर्वी यूरोप और बेलारूस पर, के साथ निकटता से जुड़ा हुआ है।

बचने की तकनीक और सामरिक परिष्कार

XDSpy ने आधुनिक सुरक्षा से बचने की एक मजबूत क्षमता का प्रदर्शन किया है। उल्लेखनीय रूप से, उनका मैलवेयर एक विशिष्ट सैंडबॉक्स समाधान से बचने का प्रयास करने वाला पहला था, जो विकसित सुरक्षा परिदृश्यों के जवाब में उच्च स्तर के अनुकूलन और अनुकूलनशीलता को दर्शाता है।

सारांश: मुख्य बातें

XDigo अभियान तकनीकों और लक्ष्यीकरण रणनीतियों का एक परिष्कृत मिश्रण प्रदर्शित करता है। इसमें विशेष रूप से तैयार की गई LNK फ़ाइलों के माध्यम से ZDI-CAN-25373 के रूप में पहचानी गई Windows भेद्यता का शोषण शामिल था, साथ ही दुर्भावनापूर्ण गतिविधि को अस्पष्ट करने के लिए LNK पार्सिंग असंगतियों में हेरफेर भी किया गया था। हमलावरों ने दुष्ट घटकों को लोड करने के लिए नाम बदले गए वैध निष्पादन योग्य का उपयोग करके DLL साइडलोडिंग पर भी भरोसा किया। कमांड-एंड-कंट्रोल इंफ्रास्ट्रक्चर के साथ संचार और चोरी किए गए डेटा का निष्कासन मानक HTTP प्रोटोकॉल पर किया गया था, जिससे चोरी और चोरी को सक्षम किया गया।

लक्ष्यीकरण के संदर्भ में, अभियान ने सरकारी संस्थाओं, विशेष रूप से बेलारूस और रूस पर बहुत अधिक ध्यान केंद्रित किया। इसने वित्तीय और खुदरा क्षेत्रों के साथ-साथ बड़ी बीमा कंपनियों और राष्ट्रीय डाक सेवाओं तक भी अपनी पहुंच बढ़ाई। यह अभियान राज्य-संरेखित खतरे वाले अभिनेताओं के निरंतर नवाचार को रेखांकित करता है और छिपे हुए खतरों के लिए LNK फ़ाइलों जैसे प्रतीत होने वाले हानिरहित फ़ाइल प्रकारों की भी जांच करने की महत्वपूर्ण आवश्यकता को पुष्ट करता है।