Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad XDigo Malware

XDigo Malware

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Penyelidik keselamatan siber telah menemui kempen pengintipan siber baharu yang melibatkan pencuri berasaskan Go yang digelar XDigo, yang telah digunakan pada Mac 2025 terhadap organisasi kerajaan Eropah Timur. Malware itu dikaitkan dengan kumpulan pelakon ancaman berterusan XDSpy, aktif di rantau ini sejak sekurang-kurangnya 2011.

Kembalinya XDSpy: Satu Dekad Pengawasan

XDSpy ialah kumpulan pengintipan siber yang didokumentasikan dengan baik yang terkenal kerana menyasarkan agensi kerajaan di seluruh Eropah Timur dan Balkan. Pertama kali dianalisis secara terbuka pada tahun 2020, XDSpy telah mengekalkan corak aktiviti yang stabil, mengembangkan kit alat dan skop penyasarannya selama ini.

Kempen terbaharu yang dikaitkan dengan kumpulan itu telah melanda organisasi di Rusia dan Moldova, menggunakan keluarga perisian hasad seperti UTask, XDDown dan DSDownloader—alat yang direka untuk memuat turun muatan tambahan dan menyedut data sensitif daripada sistem yang dijangkiti.

Eksploitasi LNK: Bahaya Tersembunyi di Sebalik Pintasan Windows

Kempen XDigo menggunakan rantaian serangan berbilang peringkat yang bermula dengan fail pintasan Windows (.LNK), mengeksploitasi kelemahan pelaksanaan kod jauh dalam Microsoft Windows yang dijejaki sebagai ZDI-CAN-25373, didedahkan secara terbuka pada Mac 2025.

Kerentanan ini timbul daripada pengendalian fail LNK yang direka khas secara tidak betul, membenarkan kandungan berniat jahat kekal tidak kelihatan dalam antara muka pengguna tetapi masih melaksanakan kod dalam konteks pengguna semasa. Pemeriksaan lanjut mendedahkan subset sembilan fail LNK sedemikian, mengeksploitasi kecacatan kekeliruan penghuraian yang disebabkan oleh pelaksanaan separa Microsoft bagi spesifikasi MS-SHLLINK (v8.0).

Kekeliruan Menghurai: Spesifikasi lwn. Pelaksanaan

Spesifikasi MS-SHLLINK membenarkan panjang rentetan sehingga 65,535 aksara, tetapi Windows 11 mengehadkan kandungan sebenar kepada 259 aksara, dengan argumen baris perintah sebagai pengecualian. Ketidakpadanan ini memperkenalkan ketidakkonsistenan dalam cara fail LNK ditafsir merentas platform.

Penyerang mengeksploitasi jurang ini dengan membuat fail LNK yang kelihatan sah atau tidak sah bergantung pada penghurai, membolehkan:

  • Pelaksanaan perintah yang tidak dijangka atau tersembunyi
  • Mengelak pengesanan oleh UI Windows dan alat analisis pihak ketiga

Dengan menggabungkan ini dengan teknik pelapik ruang kosong, musuh secara berkesan mengaburkan niat sebenar pintasan itu, meningkatkan peluang pelaksanaan yang berjaya tanpa memberi amaran kepada pengguna atau alatan keselamatan.

Rantaian Jangkitan: Arkib ZIP, Umpan dan Pemuatan Sisi DLL

Sembilan fail LNK berniat jahat yang dikenal pasti telah diedarkan dalam arkib ZIP, setiap satu mengandungi arkib ZIP lain yang digabungkan:

  • Dokumen PDF yang menipu
  • Boleh laku yang sah dinamakan semula
  • DLL berniat jahat yang dimuatkan oleh binari

DLL ini, bernama ETDownloader, berfungsi sebagai muatan peringkat pertama yang direka untuk memuat turun implan utama - XDigo.

XDigo: Pencuri Data Yang Ditapis

XDigo ialah implan perisian hasad berasaskan Go yang dinilai sebagai evolusi UsrRunVGA.exe, sebelum ini didokumenkan pada Oktober 2023. Ia dilengkapi untuk:

  • Tuai fail tempatan.
  • Tangkap kandungan papan keratan.
  • Ambil tangkapan skrin.
  • Laksanakan arahan atau binari yang diambil dari pelayan jauh melalui HTTP GET.
  • Keluarkan data yang dicuri menggunakan permintaan HTTP POST.

Fungsi ini mengesahkan peranan XDigo sebagai pencuri berorientasikan pengintipan yang direka untuk pengumpulan maklumat senyap.

Profil Sasaran dan Konsistensi Taktikal

Penyiasat telah mengesahkan sekurang-kurangnya satu sasaran di wilayah Minsk, dengan tanda lanjut menunjukkan operasi terhadap kumpulan runcit Rusia, institusi kewangan, syarikat insurans dan perkhidmatan pos kerajaan. Penganiayaan ini sejajar rapat dengan tumpuan sejarah XDSpy, terutamanya di Eropah Timur dan Belarus.

Teknik Mengelak dan Kecanggihan Taktikal

XDSpy telah menunjukkan keupayaan yang kuat untuk mengelakkan pertahanan moden. Terutamanya, perisian hasad mereka adalah yang pertama cuba mengelak penyelesaian kotak pasir tertentu, mencerminkan tahap penyesuaian dan kebolehsuaian yang tinggi sebagai tindak balas kepada landskap keselamatan yang berkembang.

Ringkasan: Pengambilan Utama

Kempen XDigo mempamerkan gabungan teknik dan strategi penyasaran yang canggih. Ia melibatkan eksploitasi kelemahan Windows yang dikenal pasti sebagai ZDI-CAN-25373 melalui fail LNK yang direka khas, di samping manipulasi ketidakkonsistenan penghuraian LNK untuk mengaburkan aktiviti berniat jahat. Penyerang juga bergantung pada pemuatan sisi DLL dengan menggunakan boleh laku sah yang dinamakan semula untuk memuatkan komponen penyangak. Komunikasi dengan infrastruktur arahan dan kawalan dan penyingkiran data yang dicuri telah dijalankan melalui protokol HTTP standard, membolehkan senyap dan mengelak.

Dari segi penyasaran, kempen ini banyak memberi tumpuan kepada entiti kerajaan, terutamanya di Belarus dan Rusia. Ia juga meluaskan jangkauannya ke sektor kewangan dan runcit, serta syarikat insurans besar dan perkhidmatan pos nasional. Operasi ini menggariskan inovasi berterusan pelakon ancaman sejajar dengan negara dan memperkukuh keperluan kritikal untuk meneliti jenis fail yang kelihatan tidak berbahaya, seperti fail LNK, untuk ancaman tersembunyi.

Trending

Paling banyak dilihat

Memuatkan...