Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware XDigo kártevő

XDigo kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági kutatók egy új kiberkémkedési kampányt lepleztek le, amelyben egy Go-alapú, XDigo nevű lopóprogram vett részt. A kártevőt 2025 márciusában vetették be kelet-európai kormányzati szervezetek ellen. A rosszindulatú program az XDSpy nevű, legalább 2011 óta aktív XDSpy nevű fenyegetéscsoporthoz köthető, amely a régióban aktív.

Az XDSpy visszatérése: Egy évtizednyi megfigyelés

Az XDSpy egy jól dokumentált kiberkémkedési csoport, amely Kelet-Európa és a Balkán kormányzati szerveinek célba vételéről ismert. Az XDSpy-t először 2020-ban elemezték nyilvánosan, és az évek során stabil tevékenységi mintát tartott fenn, eszköztárát és célzott hatókörét fejlesztette.

A csoporthoz köthető legutóbbi kampányok oroszországi és moldovai szervezeteket sújtottak, olyan rosszindulatú programcsaládokat telepítve, mint az UTask, az XDDown és a DSDownloader – olyan eszközöket, amelyek további hasznos adatok letöltésére és érzékeny adatok kinyerésére szolgálnak a fertőzött rendszerekből.

LNK biztonsági rés: A Windows parancsikonok mögött rejlő veszély

Az XDigo kampány egy többlépcsős támadási láncot alkalmaz, amely Windows parancsikonfájlokkal (.LNK) kezdődik, és egy távoli kódfuttatást lehetővé tevő sebezhetőséget használ ki a Microsoft Windowsban, amelyet ZDI-CAN-25373 néven azonosítottak, és amelyet 2025 márciusában hoztak nyilvánosságra.

Ez a sebezhetőség a speciálisan létrehozott LNK fájlok nem megfelelő kezeléséből ered, ami lehetővé teszi, hogy a rosszindulatú tartalom láthatatlan maradjon a felhasználói felületen, de továbbra is kódot futtasson az aktuális felhasználó kontextusában. További vizsgálat kilenc ilyen LNK fájlból álló részhalmazt tárt fel, amelyek egy elemzési zavart kihasználva kerültek felhasználásra, amelyet a Microsoft MS-SHLLINK specifikáció (v8.0) részleges implementációja okozott.

Elemzési zavar: Specifikáció vs. Megvalósítás

Az MS-SHLLINK specifikáció legfeljebb 65 535 karakteres karakterláncokat engedélyez, de a Windows 11 a tényleges tartalmat 259 karakterre korlátozza, a parancssori argumentumok kivételével. Ez az eltérés következetlenségeket okoz az LNK fájlok platformonkénti értelmezésében.

A támadók ezt a rést kihasználva LNK fájlokat hoznak létre, amelyek az elemzőtől függően érvényesnek vagy érvénytelennek tűnnek, lehetővé téve a következőket:

  • Váratlan vagy rejtett parancsok végrehajtása
  • A Windows felhasználói felület és harmadik féltől származó elemzőeszközök általi észlelés elkerülése

Ennek a szóközökkel való kiegészítésével a támadók hatékonyan elfedik a parancs valódi szándékát, növelve a sikeres végrehajtás esélyét anélkül, hogy figyelmeztetnék a felhasználókat vagy a biztonsági eszközöket.

Fertőzéslánc: ZIP archívumok, csalik és DLL oldaltöltés

A kilenc azonosított rosszindulatú LNK fájlt ZIP archívumokban terjesztették, amelyek mindegyike egy másik ZIP archívumot tartalmazott, amely a következőket tartalmazta:

  • Egy csali PDF dokumentum
  • Egy legitim futtatható fájl átnevezése
  • A bináris fájl által betöltött rosszindulatú DLL

Ez az ETDownloader nevű DLL első fázisú hasznos teherként szolgál, amelynek célja a fő implantátum, az XDigo letöltése.

XDigo: Egy kifinomult adatlopó

Az XDigo egy Go-alapú kártevő-beültetés, amelyet az UsrRunVGA.exe evolúciójának tekintenek, és amelyet korábban 2023 októberében dokumentáltak. Fel van szerelve a következőkre:

  • Helyi fájlok begyűjtése.
  • Vágólap tartalmának rögzítése.
  • Készítsen képernyőképeket.
  • Távoli szerverről HTTP GET-en keresztül lekért parancsok vagy bináris fájlok végrehajtása.
  • Ellopott adatok kiszivárogtatása HTTP POST kérések segítségével.

Ez a funkció megerősíti az XDigo szerepét, mint kémkedésre orientált lopó, amelyet lopakodó információgyűjtésre terveztek.

Célprofil és taktikai következetesség

A nyomozók legalább egy célpontot megerősítettek a minszki régióban, további jelek pedig orosz kiskereskedelmi csoportok, pénzintézetek, biztosítótársaságok és kormányzati postai szolgáltatások elleni műveletekre utalnak. Ez az áldozati stáblista szorosan illeszkedik az XDSpy történelmi fókuszához, különösen Kelet-Európára és Fehéroroszországra.

Kitérési technikák és taktikai kifinomultság

Az XDSpy bizonyította, hogy erős képességgel rendelkezik a modern védelmi rendszerek kijátszására. Figyelemre méltó, hogy a rosszindulatú programjuk volt az első, amely megpróbálta kijátszani egy adott sandbox megoldást, ami a változó biztonsági környezethez való magas fokú testreszabhatóságot és alkalmazkodóképességet tükrözi.

Összefoglalás: Főbb tanulságok

Az XDigo kampány kifinomult technikák és célzási stratégiák keverékét mutatja be. A kampány során egy ZDI-CAN-25373 néven azonosított Windows sebezhetőséget használtak ki speciálisan létrehozott LNK fájlokon keresztül, valamint manipulálták az LNK elemzési inkonzisztenciáit a rosszindulatú tevékenységek elrejtése érdekében. A támadók a DLL oldalra töltésére is támaszkodtak, átnevezett legitim futtatható fájlokat használva rosszindulatú komponensek betöltésére. A parancs- és vezérlő infrastruktúrával való kommunikáció és az ellopott adatok kiszűrése szabványos HTTP protokollokon keresztül történt, lehetővé téve a lopakodást és az eltérítést.

A célzás tekintetében a kampány erősen a kormányzati szervekre összpontosított, különösen Fehéroroszországban és Oroszországban. Kiterjesztette hatókörét a pénzügyi és kiskereskedelmi szektorra, valamint a nagy biztosítótársaságokra és a nemzeti postai szolgáltatásokra is. Ez a művelet kiemeli az államilag támogatott fenyegetések folyamatos innovációját, és megerősíti annak kritikus szükségességét, hogy még a látszólag ártalmatlan fájltípusokat, például az LNK fájlokat is alaposan ellenőrizzék a rejtett fenyegetések szempontjából.

Felkapott

Legnézettebb

Betöltés...