Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra XDigo ļaunprogrammatūra

XDigo ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu kiberspiegošanas kampaņu, kurā iesaistīts uz Go bāzes veidots zaglis ar nosaukumu XDigo, kas tika izmantots 2025. gada martā pret Austrumeiropas valdības organizācijām. Ļaunprogrammatūra ir saistīta ar pastāvīgo apdraudējumu izpildītāju grupu XDSpy, kas reģionā darbojas vismaz kopš 2011. gada.

XDSpy atgriešanās: desmitgade novērošanas

XDSpy ir labi dokumentēta kiberizlūkošanas grupa, kas pazīstama ar valdības aģentūru apkarošanu visā Austrumeiropā un Balkānos. XDSpy, kas pirmo reizi tika publiski analizēta 2020. gadā, gadu gaitā ir saglabājusi stabilu darbības modeli, attīstot savu rīku komplektu un mērķējot uz uzbrukumiem.

Jaunākās ar grupu saistītās kampaņas ir skārušas organizācijas Krievijā un Moldovā, izvietojot tādas ļaunprogrammatūru saimes kā UTask, XDDown un DSDownloader — rīkus, kas paredzēti papildu vērtuma lejupielādei un sensitīvu datu izsūknēšanai no inficētajām sistēmām.

LNK ekspluatācijas: slēptās briesmas aiz Windows saīsnēm

XDigo kampaņā tiek izmantota daudzpakāpju uzbrukuma ķēde, kas sākas ar Windows saīšņu failiem (.LNK), izmantojot attālinātas koda izpildes ievainojamību operētājsistēmā Microsoft Windows, kas identificēta kā ZDI-CAN-25373 un publiski atklāta 2025. gada martā.

Šī ievainojamība rodas speciāli izstrādātu LNK failu nepareizas apstrādes dēļ, ļaujot ļaunprātīgam saturam palikt neredzamam lietotāja saskarnē, bet joprojām izpildīt kodu pašreizējā lietotāja kontekstā. Turpmāka pārbaude atklāja deviņu šādu LNK failu apakškopu, izmantojot parsēšanas apjukuma trūkumu, ko izraisīja Microsoft daļēja MS-SHLLINK specifikācijas (v8.0) ieviešana.

Parsēšanas apjukums: specifikācija pret ieviešanu

MS-SHLLINK specifikācija atļauj virkņu garumu līdz 65 535 rakstzīmēm, taču operētājsistēma Windows 11 ierobežo faktisko saturu līdz 259 rakstzīmēm, izņemot komandrindas argumentus. Šī neatbilstība rada neatbilstības LNK failu interpretācijā dažādās platformās.

Uzbrucēji izmanto šo nepilnību, izveidojot LNK failus, kas atkarībā no parsētāja šķiet derīgi vai nederīgi, tādējādi iespējojot:

  • Neparedzētu vai slēptu komandu izpilde
  • Izvairīšanās no atklāšanas, izmantojot gan Windows lietotāja saskarni, gan trešo pušu analīzes rīkus

Apvienojot to ar atstarpju papildināšanas metodēm, pretinieki efektīvi aizēno saīsnes patieso nolūku, palielinot veiksmīgas izpildes iespējas, nebrīdinot lietotājus vai drošības rīkus.

Infekcijas ķēde: ZIP arhīvi, mānekļi un DLL sānielāde

Identificētie deviņi ļaunprātīgie LNK faili tika izplatīti ZIP arhīvos, katrs no tiem saturēja vēl vienu ZIP arhīvu, kurā bija iekļauts:

  • Mānekļa PDF dokuments
  • Leģitīms izpildāmais fails pārdēvēts
  • Ļaunprātīga DLL, ko sānielādējis binārais fails

Šis DLL, ko sauc par ETDownloader, kalpo kā pirmā posma lietderīgā slodze, kas paredzēta galvenā implanta — XDigo — lejupielādei.

XDigo: Rafinēts datu zaglis

XDigo ir uz Go bāzes veidota ļaunprogrammatūras implantācija, kas tiek uzskatīta par UsrRunVGA.exe evolūciju, kas iepriekš tika dokumentēta 2023. gada oktobrī. Tā ir aprīkota, lai:

  • Apkopot lokālos failus.
  • Tvert starpliktuves saturu.
  • Uzņemiet ekrānuzņēmumus.
  • Izpildīt komandas vai bināros failus, kas ielādēti no attālā servera, izmantojot HTTP GET.
  • Izfiltrēt nozagtos datus, izmantojot HTTP POST pieprasījumus.

Šī funkcionalitāte apstiprina XDigo lomu kā uz spiegošanu orientētu zagli, kas paredzēts slepenai informācijas vākšanai.

Mērķa profils un taktiskā konsekvence

Izmeklētāji ir apstiprinājuši vismaz vienu mērķi Minskas apgabalā, un ir arī citas pazīmes, kas liecina par operācijām pret Krievijas mazumtirdzniecības grupām, finanšu iestādēm, apdrošināšanas kompānijām un valdības pasta dienestiem. Šī viktimoloģija cieši saskan ar XDSpy vēsturisko fokusu, īpaši uz Austrumeiropu un Baltkrieviju.

Izvairīšanās paņēmieni un taktiskā izsmalcinātība

XDSpy ir pierādījis spēcīgu spēju apiet mūsdienu aizsardzības sistēmas. Jāatzīmē, ka viņu ļaunprogrammatūra bija pirmā, kas mēģināja apiet konkrētu “smilškastes” risinājumu, kas atspoguļo augstu pielāgošanas spēju un spēju pielāgoties mainīgajām drošības vidēm.

Kopsavilkums: galvenie secinājumi

XDigo kampaņā tiek demonstrēts sarežģīts metožu un mērķēšanas stratēģiju apvienojums. Tajā tika izmantota Windows ievainojamība, kas identificēta kā ZDI-CAN-25373, izmantojot speciāli izveidotus LNK failus, kā arī manipulējot ar LNK parsēšanas neatbilstībām, lai slēptu ļaunprātīgu darbību. Uzbrucēji arī izmantoja DLL sānielādi, izmantojot pārdēvētus likumīgus izpildāmos failus, lai ielādētu ļaunprātīgus komponentus. Saziņa ar komandu un kontroles infrastruktūru un nozagto datu eksfiltrācija tika veikta, izmantojot standarta HTTP protokolus, nodrošinot slepenību un apiešanu.

Runājot par mērķauditorijas atlasi, kampaņa galvenokārt bija vērsta uz valdības iestādēm, īpaši Baltkrievijā un Krievijā. Tā paplašināja savu darbības jomu, iekļaujot arī finanšu un mazumtirdzniecības sektorus, kā arī lielas apdrošināšanas kompānijas un valsts pasta pakalpojumus. Šī operācija uzsver ar valsti saistītu apdraudējumu dalībnieku pastāvīgo inovāciju un pastiprina kritisko nepieciešamību pārbaudīt pat šķietami nekaitīgus failu tipus, piemēram, LNK failus, lai atklātu slēptus draudus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,126
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...