Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver XDigo

Zlonamjerni softver XDigo

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novu kampanju kibernetičke špijunaže koja uključuje kradljivca kriptografije temeljenog na Gou pod nazivom XDigo, koji je u ožujku 2025. raspoređen protiv vladinih organizacija istočne Europe. Zlonamjerni softver povezan je s upornom skupinom prijetnji XDSpy, aktivnom u regiji najmanje od 2011. godine.

Povratak XDSpyja: Desetljeće nadzora

XDSpy je dobro dokumentirana skupina za kibernetičku špijunažu poznata po ciljanju vladinih agencija diljem istočne Europe i Balkana. Prvi put javno analiziran 2020. godine, XDSpy je održavao stalan obrazac aktivnosti, razvijajući svoj alat i opseg ciljanja tijekom godina.

Nedavne kampanje pripisane toj skupini pogodile su organizacije u Rusiji i Moldaviji, koristeći obitelji zlonamjernog softvera poput UTaska, XDDowna i DSDowntera - alata dizajniranih za preuzimanje dodatnih korisnih podataka i krađu osjetljivih podataka iz zaraženih sustava.

LNK iskorištavanja: Skrivena opasnost iza Windows prečaca

XDigo kampanja koristi višefazni lanac napada koji započinje s datotekama prečaca sustava Windows (.LNK), iskorištavajući ranjivost udaljenog izvršavanja koda u sustavu Microsoft Windows označenu kao ZDI-CAN-25373, javno otkrivenu u ožujku 2025.

Ova ranjivost proizlazi iz nepravilnog rukovanja posebno izrađenim LNK datotekama, što omogućuje da zlonamjerni sadržaj ostane nevidljiv u korisničkom sučelju, ali i dalje izvršava kod u kontekstu trenutnog korisnika. Daljnjim pregledom otkriveno je podskup od devet takvih LNK datoteka, koje iskorištavaju grešku u parsiranju uzrokovanu djelomičnom implementacijom specifikacije MS-SHLLINK (v8.0) od strane Microsofta.

Zbunjenost pri parsiranju: Specifikacija vs. Implementacija

Specifikacija MS-SHLLINK dopušta duljine nizova do 65 535 znakova, ali Windows 11 ograničava stvarni sadržaj na 259 znakova, s izuzetkom argumenata naredbenog retka. Ova neusklađenost uvodi nedosljednosti u načinu na koji se LNK datoteke interpretiraju na različitim platformama.

Napadači iskorištavaju ovu prazninu izradom LNK datoteka koje izgledaju valjano ili nevaljano ovisno o parseru, omogućujući:

  • Izvršavanje neočekivanih ili skrivenih naredbi
  • Izbjegavanje otkrivanja od strane korisničkog sučelja sustava Windows i alata za analizu trećih strana

Kombiniranjem ovoga s tehnikama popunjavanja prazninama, protivnici učinkovito prikrivaju pravu namjeru prečaca, povećavajući šanse za uspješno izvršenje bez upozorenja korisnika ili sigurnosnih alata.

Lanac infekcije: ZIP arhive, mamci i bočno učitavanje DLL-a

Identificirano devet zlonamjernih LNK datoteka distribuirano je u ZIP arhivama, od kojih je svaka sadržavala još jednu ZIP arhivu koja je uključivala:

  • PDF dokument za mamce
  • Preimenovana legitimna izvršna datoteka
  • Zlonamjerni DLL koji je binarni fajl instalirao sa strane

Ovaj DLL, nazvan ETDownloader, služi kao prvi korak za preuzimanje glavnog implantata - XDigo-a.

XDigo: Rafinirani kradljivac podataka

XDigo je implantat zlonamjernog softvera temeljen na Gou za koji se procjenjuje da je evolucija UsrRunVGA.exe, prethodno dokumentiranog u listopadu 2023. Opremljen je za:

  • Prikupi lokalne datoteke.
  • Snimi sadržaj međuspremnika.
  • Napravite snimke zaslona.
  • Izvršavanje naredbi ili binarnih datoteka dohvaćenih s udaljenog poslužitelja putem HTTP GET-a.
  • Izvucite ukradene podatke pomoću HTTP POST zahtjeva.

Ova funkcionalnost potvrđuje ulogu XDigo-a kao špijunskog kradljivca osmišljenog za prikriveno prikupljanje informacija.

Profil cilja i taktička dosljednost

Istražitelji su potvrdili barem jednu metu u regiji Minska, a daljnji znakovi upućuju na operacije protiv ruskih maloprodajnih grupa, financijskih institucija, osiguravajućih društava i vladinih poštanskih usluga. Ova viktimologija usko se poklapa s povijesnim fokusom XDSpyja, posebno na istočnu Europu i Bjelorusiju.

Tehnike izbjegavanja i taktička sofisticiranost

XDSpy je pokazao snažnu sposobnost izbjegavanja modernih obrana. Značajno je da je njihov zlonamjerni softver bio prvi koji je pokušao izbjeći specifično sandbox rješenje, što odražava visok stupanj prilagodbe i prilagodljivosti kao odgovor na promjenjive sigurnosne krajolike.

Sažetak: Ključne zaključke

XDigo kampanja predstavlja sofisticiranu mješavinu tehnika i strategija ciljanja. Uključivala je iskorištavanje Windows ranjivosti identificirane kao ZDI-CAN-25373 putem posebno izrađenih LNK datoteka, uz manipulaciju nedosljednosti parsiranja LNK-a kako bi se prikrile zlonamjerne aktivnosti. Napadači su se također oslanjali na bočno učitavanje DLL-a korištenjem preimenovanih legitimnih izvršnih datoteka za učitavanje lažnih komponenti. Komunikacija s infrastrukturom za upravljanje i kontrolu te izvlačenje ukradenih podataka provodili su se putem standardnih HTTP protokola, omogućujući prikrivenost i izbjegavanje.

Što se tiče ciljanja, kampanja se snažno usredotočila na vladine subjekte, posebno u Bjelorusiji i Rusiji. Također je proširila svoj doseg na financijski i maloprodajni sektor, kao i na velika osiguravajuća društva i nacionalne poštanske usluge. Ova operacija naglašava stalnu inovaciju državnih aktera prijetnji i pojačava kritičnu potrebu za ispitivanjem čak i naizgled bezopasnih vrsta datoteka, poput LNK datoteka, u potrazi za skrivenim prijetnjama.

U trendu

Nagledanije

Učitavam...