មេរោគ XDigo

អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតថ្មីដែលពាក់ព័ន្ធនឹងអ្នកលួចដែលមានមូលដ្ឋានលើ Go ដែលមានឈ្មោះថា XDigo ដែលត្រូវបានដាក់ពង្រាយក្នុងខែមីនា ឆ្នាំ 2025 ប្រឆាំងនឹងអង្គការរដ្ឋាភិបាលអឺរ៉ុបខាងកើត។ មេរោគនេះត្រូវបានភ្ជាប់ទៅក្រុមអ្នកសំដែងការគំរាមកំហែងជាប់លាប់ XDSpy ដែលសកម្មនៅក្នុងតំបន់ចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2011។

ការត្រឡប់មកវិញនៃ XDSpy: ទសវត្សរ៍នៃការឃ្លាំមើល

XDSpy គឺជាក្រុមចារកម្មតាមអ៊ីនធឺណិតដែលមានឯកសារត្រឹមត្រូវដែលត្រូវបានគេស្គាល់ថាជាគោលដៅភ្នាក់ងាររដ្ឋាភិបាលនៅទូទាំងអឺរ៉ុបខាងកើត និងតំបន់បាល់កង់។ ការវិភាគជាសាធារណៈលើកដំបូងក្នុងឆ្នាំ 2020 XDSpy បានរក្សានូវគំរូនៃសកម្មភាពប្រកបដោយស្ថិរភាព វិវឌ្ឍន៍កញ្ចប់ឧបករណ៍របស់ខ្លួន និងវិសាលភាពកំណត់គោលដៅក្នុងរយៈពេលជាច្រើនឆ្នាំ។

យុទ្ធនាការថ្មីៗដែលត្រូវបានសន្មតថាជាក្រុមបានវាយប្រហារអង្គការនានាក្នុងប្រទេសរុស្ស៊ី និងម៉ុលដាវី ដោយដាក់ពង្រាយគ្រួសារមេរោគដូចជា UTask, XDDown និង DSDownloader—ឧបករណ៍ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកបន្ទុកបន្ថែម និងទិន្នន័យរសើបពីប្រព័ន្ធដែលមានមេរោគ។

ការកេងប្រវ័ញ្ច LNK៖ គ្រោះថ្នាក់ដែលលាក់នៅពីក្រោយផ្លូវកាត់វីនដូ

យុទ្ធនាការ XDigo ប្រើខ្សែសង្វាក់វាយប្រហារច្រើនដំណាក់កាល ដែលចាប់ផ្តើមជាមួយឯកសារផ្លូវកាត់របស់ Windows (.LNK) ដោយទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៃការប្រតិបត្តិកូដពីចម្ងាយនៅក្នុង Microsoft Windows ដែលតាមដានជា ZDI-CAN-25373 ដែលបានបង្ហាញជាសាធារណៈក្នុងខែមីនា ឆ្នាំ 2025។

ភាពងាយរងគ្រោះនេះកើតឡើងពីការគ្រប់គ្រងមិនត្រឹមត្រូវនៃឯកសារ LNK ដែលបង្កើតជាពិសេស ដែលអនុញ្ញាតឱ្យមាតិកាព្យាបាទនៅតែមើលមិនឃើញនៅក្នុងចំណុចប្រទាក់អ្នកប្រើប្រាស់ ប៉ុន្តែនៅតែដំណើរការកូដនៅក្នុងបរិបទរបស់អ្នកប្រើប្រាស់បច្ចុប្បន្ន។ ការត្រួតពិនិត្យបន្ថែមទៀតបានបង្ហាញពីសំណុំរងនៃឯកសារ LNK បែបនេះចំនួនប្រាំបួន ដែលទាញយកប្រយោជន៍ពីការយល់ច្រឡំក្នុងការវិភាគដែលបណ្តាលមកពីការអនុវត្តផ្នែកខ្លះរបស់ Microsoft លើការបញ្ជាក់ MS-SHLLINK (v8.0) ។

ការវិភាគភាពច្របូកច្របល់៖ ការបញ្ជាក់ធៀបនឹងការអនុវត្ត

លក្ខណៈពិសេស MS-SHLLINK អនុញ្ញាតឱ្យមានប្រវែងខ្សែអក្សររហូតដល់ 65,535 តួអក្សរ ប៉ុន្តែ Windows 11 កំណត់មាតិកាពិតប្រាកដត្រឹម 259 តួអក្សរ ដោយអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជាជាករណីលើកលែង។ ភាពមិនស៊ីសង្វាក់គ្នានេះបង្ហាញពីភាពមិនស៊ីសង្វាក់គ្នានៅក្នុងរបៀបដែលឯកសារ LNK ត្រូវបានបកស្រាយនៅទូទាំងវេទិកា។

អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីគម្លាតនេះដោយបង្កើតឯកសារ LNK ដែលមើលទៅត្រឹមត្រូវ ឬមិនត្រឹមត្រូវអាស្រ័យលើអ្នកញែក ដោយបើកដំណើរការ៖

• ការប្រតិបត្តិពាក្យបញ្ជាដែលមិនរំពឹងទុក ឬលាក់
• គេចពីការរកឃើញដោយទាំង Windows UI និងឧបករណ៍វិភាគភាគីទីបី

ដោយការរួមបញ្ចូលវាជាមួយនឹងបច្ចេកទេសចន្លោះប្រហោង សត្រូវបិទបាំងចេតនាពិតនៃផ្លូវកាត់ប្រកបដោយប្រសិទ្ធភាព ដោយបង្កើនឱកាសនៃការប្រតិបត្តិដោយជោគជ័យដោយមិនមានការជូនដំណឹងដល់អ្នកប្រើប្រាស់ ឬឧបករណ៍សុវត្ថិភាព។

ខ្សែសង្វាក់ឆ្លងមេរោគ៖ បណ្ណសារហ្ស៊ីប ការបោកបញ្ឆោត និង DLL Sideloading

ឯកសារ LNK ព្យាបាទចំនួនប្រាំបួនដែលបានកំណត់អត្តសញ្ញាណត្រូវបានចែកចាយនៅក្នុងបណ្ណសារ ZIP ដែលនីមួយៗមានបណ្ណសារ ZIP មួយផ្សេងទៀតដែលរួមបញ្ចូលៈ

• ឯកសារ PDF ក្លែងក្លាយ
• ការប្តូរឈ្មោះដែលអាចប្រតិបត្តិបានស្របច្បាប់
• DLL ព្យាបាទដែលផ្ទុកដោយប្រព័ន្ធគោលពីរ

DLL នេះដែលមានឈ្មោះថា ETDownloader បម្រើជាបន្ទុកដំណាក់កាលដំបូងដែលត្រូវបានរចនាឡើងដើម្បីទាញយក implant មេ - XDigo ។

XDigo៖ អ្នកលួចទិន្នន័យដែលចម្រាញ់

XDigo គឺជាកម្មវិធីបង្កប់មេរោគដែលមានមូលដ្ឋានលើ Go ដែលត្រូវបានវាយតម្លៃថាជាការវិវត្តន៍នៃ UsrRunVGA.exe ដែលបានចងក្រងជាឯកសារកាលពីខែតុលា ឆ្នាំ 2023។ វាត្រូវបានបំពាក់ដើម្បី៖

• ប្រមូលឯកសារក្នុងស្រុក។
• ចាប់យកមាតិកាក្ដារតម្បៀតខ្ទាស់។
• ថតអេក្រង់។
• ប្រតិបត្តិពាក្យបញ្ជា ឬប្រព័ន្ធគោលពីរដែលទាញយកពីម៉ាស៊ីនមេពីចម្ងាយតាមរយៈ HTTP GET ។
• Exfiltrate ទិន្នន័យលួចដោយប្រើសំណើ HTTP POST ។

មុខងារនេះបញ្ជាក់ពីតួនាទីរបស់ XDigo ជាអ្នកលួចដែលតម្រង់ទិសចារកម្ម ដែលត្រូវបានរចនាឡើងសម្រាប់ការប្រមូលព័ត៌មានសម្ងាត់។

ទម្រង់គោលដៅ និងភាពស៊ីសង្វាក់គ្នានៃយុទ្ធសាស្ត្រ

ក្រុមអ្នកស៊ើបអង្កេតបានបញ្ជាក់ពីគោលដៅយ៉ាងហោចណាស់មួយនៅក្នុងតំបន់ Minsk ជាមួយនឹងសញ្ញាបន្ថែមទៀតដែលចង្អុលបង្ហាញពីប្រតិបត្តិការប្រឆាំងនឹងក្រុមលក់រាយរបស់រុស្ស៊ី ស្ថាប័នហិរញ្ញវត្ថុ ក្រុមហ៊ុនធានារ៉ាប់រង និងសេវាប្រៃសណីយ៍របស់រដ្ឋាភិបាល។ ជនរងគ្រោះវិទ្យានេះតម្រឹមយ៉ាងជិតស្និទ្ធជាមួយនឹងការផ្តោតជាប្រវត្តិសាស្ត្ររបស់ XDSpy ជាពិសេសលើអឺរ៉ុបខាងកើត និងបេឡារុស្ស។

បច្ចេក​ទេស​គេច​វេះ​និង​ល្បិច​កល​ល្បិច

XDSpy បានបង្ហាញពីសមត្ថភាពដ៏រឹងមាំសម្រាប់ការគេចចេញពីការការពារទំនើប។ គួរកត់សម្គាល់ថាមេរោគរបស់ពួកគេគឺជាមនុស្សដំបូងគេដែលព្យាយាមគេចចេញពីដំណោះស្រាយ sandbox ជាក់លាក់មួយ ដែលឆ្លុះបញ្ចាំងពីកម្រិតខ្ពស់នៃការប្ដូរតាមបំណង និងការសម្របសម្រួលក្នុងការឆ្លើយតបទៅនឹងការវិវត្តនៃទិដ្ឋភាពសុវត្ថិភាព។

សង្ខេប៖ គន្លឹះសំខាន់ៗ

យុទ្ធនាការ XDigo បង្ហាញពីការបញ្ចូលគ្នាដ៏ទំនើបនៃបច្ចេកទេស និងយុទ្ធសាស្ត្រកំណត់គោលដៅ។ វាពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះរបស់ Windows ដែលត្រូវបានកំណត់ថាជា ZDI-CAN-25373 តាមរយៈឯកសារ LNK ដែលបង្កើតជាពិសេស រួមជាមួយនឹងការរៀបចំភាពមិនស៊ីសង្វាក់នៃការវិភាគ LNK ដើម្បីបិទបាំងសកម្មភាពព្យាបាទ។ អ្នកវាយប្រហារក៏ពឹងផ្អែកលើ DLL sideloading ដោយប្រើការប្តូរឈ្មោះដែលអាចប្រតិបត្តិបានស្របច្បាប់ដើម្បីផ្ទុកសមាសធាតុបញ្ឆោតទាំងឡាយ។ ការប្រាស្រ័យទាក់ទងជាមួយហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងការគ្រប់គ្រង និងការដកទិន្នន័យដែលលួចបានធ្វើឡើងលើពិធីការ HTTP ស្តង់ដារ ដែលអនុញ្ញាតឱ្យមានការលួចលាក់ និងការគេចវេស។

ទាក់ទងនឹងការកំណត់គោលដៅ យុទ្ធនាការនេះបានផ្តោតយ៉ាងខ្លាំងទៅលើអង្គភាពរដ្ឋាភិបាល ជាពិសេសនៅក្នុងប្រទេសបេឡារុស្ស និងរុស្ស៊ី។ វាក៏បានពង្រីកវិសាលភាពរបស់ខ្លួនទៅកាន់ផ្នែកហិរញ្ញវត្ថុ និងលក់រាយ ក៏ដូចជាក្រុមហ៊ុនធានារ៉ាប់រងធំៗ និងសេវាប្រៃសណីយ៍ជាតិផងដែរ។ ប្រតិបត្តិការនេះគូសបញ្ជាក់ពីការច្នៃប្រឌិតឥតឈប់ឈរនៃតួអង្គគំរាមកំហែងដែលតម្រៀបតាមរដ្ឋ និងពង្រឹងតម្រូវការសំខាន់ក្នុងការត្រួតពិនិត្យសូម្បីតែប្រភេទឯកសារដែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ ដូចជាឯកសារ LNK សម្រាប់ការគំរាមកំហែងលាក់កំបាំង។