Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare XDigo-skadevare

XDigo-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Forskere innen nettsikkerhet har avdekket en ny nettspionasjekampanje som involverer en Go-basert tyver kalt XDigo, som ble utplassert i mars 2025 mot østeuropeiske myndighetsorganisasjoner. Skadevaren er knyttet til den vedvarende trusselaktørgruppen XDSpy, som har vært aktiv i regionen siden minst 2011.

XDSpys tilbakekomst: Et tiår med overvåking

XDSpy er en veldokumentert cyberspionasjegruppe kjent for å målrette seg mot myndigheter i Øst-Europa og på Balkan. XDSpy ble først offentlig analysert i 2020, og har opprettholdt et jevnt aktivitetsmønster, og har utviklet verktøysettet og målrettingsområdet sitt gjennom årene.

Nylige kampanjer som tilskrives gruppen har rammet organisasjoner i Russland og Moldova, og har distribuert skadevarefamilier som UTask, XDDown og DSDownler – verktøy som er utviklet for å laste ned ekstra nyttelast og suge sensitive data fra infiserte systemer.

LNK-utnyttelser: Den skjulte faren bak Windows-snarveier

XDigo-kampanjen benytter en flertrinns angrepskjede som starter med Windows-snarveifiler (.LNK), og utnytter et sikkerhetsproblem for ekstern kodekjøring i Microsoft Windows sporet som ZDI-CAN-25373, offentliggjort i mars 2025.

Denne sårbarheten oppstår på grunn av feil håndtering av spesiallagde LNK-filer, som gjør at skadelig innhold forblir usynlig i brukergrensesnittet, men fortsatt kjører kode i konteksten til den nåværende brukeren. Videre inspeksjon avdekket et delsett av ni slike LNK-filer, som utnyttet en parsingforvirringsfeil forårsaket av Microsofts delvise implementering av MS-SHLLINK-spesifikasjonen (v8.0).

Forvirring rundt parsing: Spesifikasjon vs. implementering

MS-SHLLINK-spesifikasjonen tillater strenglengder på opptil 65 535 tegn, men Windows 11 begrenser faktisk innhold til 259 tegn, med unntaket av kommandolinjeargumenter. Denne uoverensstemmelsen introduserer inkonsekvenser i hvordan LNK-filer tolkes på tvers av plattformer.

Angripere utnytter dette gapet ved å lage LNK-filer som virker gyldige eller ugyldige avhengig av parseren, noe som muliggjør:

  • Utførelse av uventede eller skjulte kommandoer
  • Unngå deteksjon av både Windows-grensesnittet og tredjeparts analyseverktøy

Ved å kombinere dette med teknikker for utfylling av mellomrom, tilslører motstandere effektivt den sanne hensikten med snarveien, noe som øker sjansene for vellykket utførelse uten å varsle brukere eller sikkerhetsverktøy.

Infeksjonskjede: ZIP-arkiver, lokkefugler og DLL-sidelasting

De identifiserte ni ondsinnede LNK-filene ble distribuert i ZIP-arkiver, som hver inneholdt et annet ZIP-arkiv som inkluderte:

  • Et PDF-dokument med lokkefugler
  • En legitim kjørbar enhet har fått nytt navn
  • En ondsinnet DLL som ble sidelastet av binærfilen

Denne DLL-filen, kalt ETDownloader, fungerer som en nyttelast i første trinn som er designet for å laste ned hovedimplantatet - XDigo.

XDigo: En raffinert datatyver

XDigo er et Go-basert malware-implantat som vurderes å være en videreutvikling av UsrRunVGA.exe, tidligere dokumentert i oktober 2023. Det er utstyrt til å:

  • Høst lokale filer.
  • Ta opp innhold på utklippstavlen.
  • Ta skjermbilder.
  • Utfør kommandoer eller binærfiler hentet fra en ekstern server via HTTP GET.
  • Eksfiltrer stjålne data ved hjelp av HTTP POST-forespørsler.

Denne funksjonaliteten bekrefter XDigos rolle som en spionasjeorientert tyver designet for snikende informasjonsinnsamling.

Målprofil og taktisk konsistens

Etterforskere har bekreftet minst ett mål i Minsk-regionen, med ytterligere tegn som peker på operasjoner mot russiske detaljhandelsgrupper, finansinstitusjoner, forsikringsselskaper og statlige posttjenester. Denne offerrollen samsvarer tett med XDSpys historiske fokus, spesielt på Øst-Europa og Hviterussland.

Unnvikelsesteknikker og taktisk sofistikering

XDSpy har vist en sterk evne til å omgå moderne forsvar. Det er verdt å merke seg at skadevaren deres var den første som forsøkte å omgå en spesifikk sandkasseløsning, noe som gjenspeiler en høy grad av tilpasningsevne og tilpasningsevne som svar på utviklende sikkerhetslandskap.

Sammendrag: Viktige konklusjoner

XDigo-kampanjen viser frem en sofistikert blanding av teknikker og målrettingsstrategier. Den involverte utnyttelse av et Windows-sårbarhet identifisert som ZDI-CAN-25373 gjennom spesiallagde LNK-filer, samt manipulering av inkonsekvenser i LNK-parsing for å skjule ondsinnet aktivitet. Angripere brukte også DLL-sidelasting ved å bruke omdøpte legitime kjørbare filer for å laste inn uønskede komponenter. Kommunikasjon med kommando- og kontrollinfrastruktur og utvinning av stjålne data ble utført via standard HTTP-protokoller, noe som muliggjorde stealth og unnvikelse.

Når det gjelder målretting, fokuserte kampanjen sterkt på statlige enheter, spesielt i Hviterussland og Russland. Den utvidet også rekkevidden til finans- og detaljhandelssektoren, samt store forsikringsselskaper og nasjonale posttjenester. Denne operasjonen understreker den vedvarende innovasjonen til statsallierte trusselaktører og forsterker det kritiske behovet for å granske selv tilsynelatende harmløse filtyper, som LNK-filer, for skjulte trusler.

Trender

Mest sett

Laster inn...