Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „XDigo“ kenkėjiška programa

„XDigo“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai atskleidė naują kibernetinio šnipinėjimo kampaniją, kurioje dalyvavo „Go“ pagrindu sukurta kenkėjiška programa „XDigo“, kuri buvo paleista 2025 m. kovo mėn. prieš Rytų Europos vyriausybines organizacijas. Kenkėjiška programa yra susijusi su nuolatine grėsmių grupe „XDSpy“, veikiančia regione mažiausiai nuo 2011 m.

XDSpy sugrįžimas: stebėjimo dešimtmetis

„XDSpy“ – gerai žinoma kibernetinio šnipinėjimo grupuotė, žinoma dėl taikinių, nukreiptų prieš vyriausybines agentūras visoje Rytų Europoje ir Balkanuose. Pirmą kartą viešai analizuota 2020 m., „XDSpy“ išlaikė pastovų veiklos modelį, bėgant metams tobulino savo įrankių rinkinį ir taikinių apimtį.

Naujausios šiai grupei priskiriamos kampanijos smogė organizacijoms Rusijoje ir Moldovoje, diegiant kenkėjiškų programų šeimas, tokias kaip „UTask“, „XDDown“ ir „DSDownloader“ – įrankius, skirtus atsisiųsti papildomus naudingus duomenis ir išgauti jautrius duomenis iš užkrėstų sistemų.

LNK išnaudojimai: paslėptas pavojus už „Windows“ sparčiųjų klavišų

„XDigo“ kampanijoje naudojama daugiapakopė atakų grandinė, prasidedanti „Windows“ sparčiųjų klavišų failais (.LNK), išnaudojant nuotolinio kodo vykdymo pažeidžiamumą „Microsoft Windows“ sistemoje, identifikuotą kaip ZDI-CAN-25373, viešai atskleistą 2025 m. kovo mėn.

Šis pažeidžiamumas atsiranda dėl netinkamo specialiai sukurtų LNK failų tvarkymo, dėl kurio kenkėjiškas turinys lieka nematomas vartotojo sąsajoje, tačiau vis tiek vykdo kodą dabartinio vartotojo kontekste. Tolesnis patikrinimas atskleidė devynių tokių LNK failų pogrupį, išnaudojantį analizės painiavos klaidą, kurią sukėlė dalinis „Microsoft“ MS-SHLLINK specifikacijos (v8.0) įgyvendinimas.

Analizės painiava: specifikacija ir įgyvendinimas

MS-SHLLINK specifikacija leidžia naudoti iki 65 535 simbolių ilgio eilutes, tačiau „Windows 11“ apriboja faktinį turinį iki 259 simbolių, išskyrus komandinės eilutės argumentus. Šis neatitikimas sukelia neatitikimų, kaip LNK failai interpretuojami skirtingose platformose.

Užpuolikai išnaudoja šią spragą kurdami LNK failus, kurie, priklausomai nuo analizatoriaus, atrodo galiojantys arba negaliojantys, ir taip leidžia:

  • Netikėtų arba paslėptų komandų vykdymas
  • Aptikimo išvengimas naudojant „Windows“ vartotojo sąsają ir trečiųjų šalių analizės įrankius

Derindami tai su tarpų užpildymo technikomis, priešininkai efektyviai užmaskuoja tikrąjį nuorodos tikslą, padidindami sėkmingo vykdymo tikimybę neįspėdami vartotojų ar saugos įrankių.

Užkrėtimo grandinė: ZIP archyvai, jaukai ir DLL šalutinis įkėlimas

Devyni nustatyti kenkėjiški LNK failai buvo platinami ZIP archyvuose, kurių kiekviename buvo kitas ZIP archyvas, kuriame buvo:

  • PDF dokumentas apie masalus
  • Teisėtas vykdomasis failas pervadintas
  • Kenkėjiška DLL, įkelta dvejetainio failo

Šis DLL, pavadintas ETDownloader, yra pirmojo etapo naudingoji apkrova, skirta pagrindiniam implantui – XDigo – atsisiųsti.

„XDigo“: rafinuotas duomenų vagis

„XDigo“ yra „Go“ pagrindu sukurta kenkėjiška programa, kuri, kaip manoma, yra „UsrRunVGA.exe“ evoliucija, anksčiau aprašyta 2023 m. spalio mėn. Ji yra aprūpinta:

  • Surinkite vietinius failus.
  • Užfiksuoti iškarpinės turinį.
  • Darykite ekrano kopijas.
  • Vykdyti komandas arba dvejetainius failus, gautus iš nuotolinio serverio per HTTP GET.
  • Išfiltruokite pavogtus duomenis naudodami HTTP POST užklausas.

Ši funkcija patvirtina „XDigo“ vaidmenį kaip šnipinėjimui skirtos vagystės, skirtos slaptam informacijos rinkimui.

Taikinio profilis ir taktinis nuoseklumas

Tyrėjai patvirtino bent vieną taikinį Minsko srityje, o kiti požymiai rodo operacijas prieš Rusijos mažmeninės prekybos grupes, finansų įstaigas, draudimo bendroves ir vyriausybines pašto tarnybas. Ši viktimologija glaudžiai susijusi su XDSpy istoriniu dėmesio centru, ypač Rytų Europai ir Baltarusijai.

Išsisukimo metodai ir taktinis rafinuotumas

„XDSpy“ pademonstravo puikų gebėjimą apeiti šiuolaikines apsaugos priemones. Pažymėtina, kad jų kenkėjiška programa pirmoji bandė apeiti konkretų „smėlio dėžės“ sprendimą, o tai rodo aukštą pritaikymo ir prisitaikymo prie besikeičiančių saugumo aplinkybių laipsnį.

Santrauka: Svarbiausios išvados

„XDigo“ kampanijoje demonstruojamas sudėtingas metodų ir taikinių strategijų derinys. Joje buvo išnaudota „Windows“ pažeidžiamumas, identifikuotas kaip ZDI-CAN-25373, naudojant specialiai sukurtus LNK failus, taip pat manipuliuojant LNK analizės neatitikimais, siekiant paslėpti kenkėjišką veiklą. Užpuolikai taip pat rėmėsi DLL šalutiniu įkėlimu, naudodami pervadintus teisėtus vykdomuosius failus, kad įkeltų kenkėjiškus komponentus. Bendravimas su komandų ir valdymo infrastruktūra ir pavogtų duomenų išgavimas buvo vykdomas naudojant standartinius HTTP protokolus, o tai leido slapta veikti ir apeiti kenkėjiškas sistemas.

Kalbant apie taikinį, kampanija daugiausia dėmesio skyrė vyriausybinėms įstaigoms, ypač Baltarusijoje ir Rusijoje. Ji taip pat išplėtė savo veiklą į finansų ir mažmeninės prekybos sektorius, taip pat dideles draudimo bendroves ir nacionalines pašto tarnybas. Ši operacija pabrėžia nuolatines su valstybe susijusių grėsmių veikėjų inovacijas ir sustiprina būtinybę atidžiai tikrinti net ir, atrodytų, nekenksmingus failų tipus, tokius kaip LNK failai, dėl paslėptų grėsmių.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,126
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...