다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 XDigo 맬웨어

XDigo 맬웨어

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 XDigo라는 구글 기반 악성코드를 이용한 새로운 사이버 스파이 활동을 발견했습니다. 이 악성코드는 2025년 3월 동유럽 정부 기관을 겨냥하여 배포되었습니다. 이 악성코드는 최소 2011년부터 이 지역에서 활동해 온 지속적 위협 행위자 그룹인 XDSpy와 연관되어 있습니다.

XDSpy의 귀환: 10년의 감시

XDSpy는 동유럽과 발칸반도 전역의 정부 기관을 표적으로 삼은 것으로 알려진 사이버 스파이 조직으로, 정황이 잘 알려져 있습니다. 2020년 처음 공개 분석된 이후, XDSpy는 꾸준한 활동 패턴을 유지하며 수년에 걸쳐 툴킷과 공격 범위를 발전시켜 왔습니다.

이 그룹에 기인한 최근의 캠페인은 러시아와 몰도바의 조직을 공격하여 UTask, XDDown, DSDownloader와 같은 맬웨어 계열을 배포했습니다. 이러한 도구는 감염된 시스템에서 추가 페이로드를 다운로드하고 민감한 데이터를 빼돌리도록 설계되었습니다.

LNK 익스플로잇: Windows 바로가기 뒤에 숨겨진 위험

XDigo 캠페인은 Windows 바로가기 파일(.LNK)로 시작하는 다단계 공격 체인을 사용하여 2025년 3월에 공개된 ZDI-CAN-25373으로 추적되는 Microsoft Windows의 원격 코드 실행 취약점을 악용합니다.

이 취약점은 특수하게 조작된 LNK 파일을 부적절하게 처리하여 발생하며, 악성 콘텐츠가 사용자 인터페이스에는 보이지 않으면서도 현재 사용자의 컨텍스트에서는 코드를 실행할 수 있도록 합니다. 추가 조사 결과, Microsoft의 MS-SHLLINK 사양(v8.0) 부분 구현으로 인해 발생한 구문 분석 혼동 결함을 악용하는 9개의 LNK 파일이 발견되었습니다.

구문 분석 혼란: 사양 대 구현

MS-SHLLINK 사양은 최대 65,535자의 문자열 길이를 허용하지만, Windows 11에서는 명령줄 인수를 제외하고 실제 내용이 259자로 제한됩니다. 이러한 불일치로 인해 플랫폼 간에 LNK 파일이 해석되는 방식에 불일치가 발생합니다.

공격자는 파서에 따라 유효하거나 유효하지 않은 것처럼 보이는 LNK 파일을 제작하여 이러한 틈을 악용하여 다음을 가능하게 합니다.

  • 예상치 못한 명령이나 숨겨진 명령 실행
  • Windows UI와 타사 분석 도구 모두의 감지 회피

이를 공백 패딩 기술과 결합하면 공격자는 바로가기의 실제 의도를 효과적으로 가려서 사용자나 보안 도구에 알리지 않고도 성공적으로 실행할 가능성을 높입니다.

감염 체인: ZIP 아카이브, 디코이 및 DLL 사이드로딩

식별된 9개의 악성 LNK 파일은 ZIP 아카이브 형태로 배포되었으며, 각 아카이브에는 다음이 포함된 ZIP 아카이브가 포함되어 있습니다.

  • 미끼 PDF 문서
  • 합법적인 실행 파일의 이름이 변경되었습니다.
  • 바이너리에 의해 사이드로딩된 악성 DLL

ETDownloader라는 이름의 이 DLL은 주요 임플란트인 XDigo를 다운로드하도록 설계된 1단계 페이로드 역할을 합니다.

XDigo: 정교한 데이터 스틸러

XDigo는 UsrRunVGA.exe의 진화형으로 평가되는 Go 기반 맬웨어 임플란트로, 2023년 10월에 이미 문서화되었습니다. 다음과 같은 기능을 갖추고 있습니다.

  • 로컬 파일을 수집합니다.
  • 클립보드 내용을 캡처합니다.
  • 스크린샷을 찍으세요.
  • HTTP GET을 통해 원격 서버에서 가져온 명령이나 바이너리를 실행합니다.
  • HTTP POST 요청을 사용하여 도난당한 데이터를 빼냅니다.

이 기능은 XDigo가 은밀한 정보 수집을 위해 설계된 간첩 지향적인 도둑이라는 역할을 확인시켜 줍니다.

타겟 프로필 및 전술적 일관성

수사관들은 민스크 지역에서 최소 한 곳의 표적을 확인했으며, 러시아 소매업체, 금융기관, 보험회사, 그리고 정부 우편 서비스를 겨냥한 작전을 시사하는 추가 징후들이 발견되었습니다. 이러한 피해자 분석은 XDSpy가 특히 동유럽과 벨라루스를 중심으로 집중적으로 조사해 온 역사적 배경과 밀접하게 연관되어 있습니다.

회피 기술과 전술적 정교함

XDSpy는 최신 방어 체계를 우회하는 강력한 역량을 입증했습니다. 특히, XDSpy의 악성코드는 특정 샌드박스 솔루션을 우회하려는 시도를 최초로 시도했으며, 이는 진화하는 보안 환경에 맞춰 고도의 맞춤 설정 및 적응성을 갖추고 있음을 보여줍니다.

요약: 주요 내용

XDigo 캠페인은 정교한 기법과 타겟팅 전략의 조합을 보여줍니다. 특수하게 조작된 LNK 파일을 통해 ZDI-CAN-25373으로 식별된 Windows 취약점을 악용하고, LNK 구문 분석 불일치를 조작하여 악성 활동을 은폐했습니다. 또한 공격자는 이름을 변경한 합법적 실행 파일을 사용하여 악성 구성 요소를 로드하는 DLL 사이드로딩을 이용했습니다. 명령 및 제어 인프라와의 통신과 도난된 데이터의 유출은 표준 HTTP 프로토콜을 통해 수행되어 은밀하고 회피 가능한 공격을 가능하게 했습니다.

이 캠페인은 특히 벨라루스와 러시아의 정부 기관을 표적으로 삼았습니다. 또한 금융 및 소매 부문은 물론 대형 보험 회사와 전국 우편 서비스까지 활동 범위를 확대했습니다. 이러한 활동은 국가 기관과 연계된 위협 행위자들의 끊임없는 진화를 보여주는 사례이며, LNK 파일과 같이 겉보기에 무해해 보이는 파일 유형조차도 숨겨진 위협을 찾아내기 위해 면밀히 조사해야 할 필요성을 다시 한번 강조합니다.

트렌드

파커 랜섬웨어

랜섬웨어
PARKER 랜섬웨어는 피해자의 데이터를 표적으로 삼아 사용할 수 없는 상태로 둡니다. 문서, PDF, 사진, 사진, 아카이브, 데이터베이스 등을 포함한 모든 파일 형식이 영향을 받을 수 있습니다. 충분히 강력한 암호화 알고리즘은 영향을 받는 사용자가 공격자의 도움 없이 파일을 복원하는 것을 방지합니다. 이 위협 요소는 작업의 일부로 원래 이름에...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
60,081
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
48,289
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
46,432
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...