XDigo मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले XDigo नामक गो-आधारित चोरसँग सम्बन्धित नयाँ साइबर जासुसी अभियानको पर्दाफास गरेका छन्, जुन मार्च २०२५ मा पूर्वी युरोपेली सरकारी संस्थाहरू विरुद्ध तैनाथ गरिएको थियो। यो मालवेयर कम्तिमा २०११ देखि यस क्षेत्रमा सक्रिय रहेको निरन्तर खतरा अभिनेता समूह XDSpy सँग जोडिएको छ।

XDSpy को पुनरागमन: निगरानीको दशक

XDSpy एक राम्रोसँग दस्तावेज गरिएको साइबर जासूसी समूह हो जुन पूर्वी युरोप र बाल्कनभरि सरकारी एजेन्सीहरूलाई लक्षित गर्न परिचित छ। २०२० मा पहिलो पटक सार्वजनिक रूपमा विश्लेषण गरिएको, XDSpy ले गतिविधिको स्थिर ढाँचा कायम राखेको छ, वर्षौंदेखि यसको टूलकिट र लक्षित दायरा विकसित गर्दै।

समूहसँग सम्बन्धित हालैका अभियानहरूले रूस र मोल्डोभाका संस्थाहरूलाई असर पारेको छ, जसले UTask, XDDown, र DSDownloader जस्ता मालवेयर परिवारहरू तैनाथ गरेको छ - थप पेलोडहरू डाउनलोड गर्न र संक्रमित प्रणालीहरूबाट संवेदनशील डेटा साइफन गर्न डिजाइन गरिएका उपकरणहरू।

LNK को शोषण: विन्डोज सर्टकट पछाडि लुकेको खतरा

XDigo अभियानले विन्डोज सर्टकट फाइलहरू (.LNK) बाट सुरु हुने बहु-चरण आक्रमण श्रृंखला प्रयोग गर्दछ, जसले मार्च २०२५ मा सार्वजनिक रूपमा खुलासा गरिएको ZDI-CAN-25373 को रूपमा ट्र्याक गरिएको माइक्रोसफ्ट विन्डोजमा रिमोट कोड कार्यान्वयन जोखिमको शोषण गर्दछ।

यो जोखिम विशेष रूपमा तयार पारिएको LNK फाइलहरूको अनुचित ह्यान्डलिङबाट उत्पन्न हुन्छ, जसले गर्दा प्रयोगकर्ता इन्टरफेसमा दुर्भावनापूर्ण सामग्री अदृश्य रहन सक्छ तर हालको प्रयोगकर्ताको सन्दर्भमा कोड कार्यान्वयन गर्न सक्छ। थप निरीक्षणले त्यस्ता नौ LNK फाइलहरूको उपसमूह पत्ता लगायो, जसले माइक्रोसफ्टको MS-SHLLINK विशिष्टता (v8.0) को आंशिक कार्यान्वयनको कारणले गर्दा पार्सिङ भ्रम त्रुटिको शोषण गर्‍यो।

पार्सिङ भ्रम: विशिष्टीकरण बनाम कार्यान्वयन

MS-SHLLINK विशिष्टताले ६५,५३५ वर्णसम्मको स्ट्रिङ लम्बाइको लागि अनुमति दिन्छ, तर Windows ११ ले वास्तविक सामग्रीलाई २५९ वर्णहरूमा सीमित गर्दछ, कमाण्ड-लाइन आर्गुमेन्टहरू अपवाद हुन्। यो बेमेलले प्लेटफर्महरूमा LNK फाइलहरू कसरी व्याख्या गरिन्छ भन्नेमा असंगतिहरू प्रस्तुत गर्दछ।

आक्रमणकारीहरूले पार्सरको आधारमा मान्य वा अमान्य देखिने LNK फाइलहरू सिर्जना गरेर यो खाडलको फाइदा उठाउँछन्, सक्षम पार्दै:

• अप्रत्याशित वा लुकेका आदेशहरूको कार्यान्वयन
• Windows UI र तेस्रो-पक्ष विश्लेषण उपकरणहरू दुवैद्वारा पत्ता लगाउने कामबाट बच्ने

यसलाई ह्वाइटस्पेस प्याडिङ प्रविधिहरूसँग संयोजन गरेर, विरोधीहरूले सर्टकटको वास्तविक उद्देश्यलाई प्रभावकारी रूपमा अस्पष्ट पार्छन्, प्रयोगकर्ताहरू वा सुरक्षा उपकरणहरूलाई सचेत नगरी सफल कार्यान्वयनको सम्भावना बढाउँछन्।

संक्रमण श्रृंखला: जिप अभिलेख, डिकोइ, र DLL साइडलोडिङ

पहिचान गरिएका नौ दुर्भावनापूर्ण LNK फाइलहरू ZIP अभिलेखहरूमा वितरण गरिएका थिए, प्रत्येकमा अर्को ZIP अभिलेख थियो जुन बन्डल गरिएको थियो:

• एउटा डिकोय PDF कागजात
• वैध कार्यान्वयनयोग्य नाम परिवर्तन गरियो
• बाइनरीद्वारा साइडलोड गरिएको दुर्भावनापूर्ण DLL

ETDownloader नामक यो DLL ले मुख्य इम्प्लान्ट - XDigo डाउनलोड गर्न डिजाइन गरिएको पहिलो-चरणको पेलोडको रूपमा काम गर्दछ।

XDigo: एक परिष्कृत डाटा चोर

XDigo एक गो-आधारित मालवेयर इम्प्लान्ट हो जुन UsrRunVGA.exe को विकासको रूपमा मूल्याङ्कन गरिएको छ, जुन पहिले अक्टोबर २०२३ मा दस्तावेज गरिएको थियो। यो सुसज्जित छ:

• स्थानीय फाइलहरू सङ्कलन गर्नुहोस्।
• क्लिपबोर्ड सामग्री खिच्नुहोस्।
• स्क्रिनसटहरू लिनुहोस्।
• HTTP GET मार्फत रिमोट सर्भरबाट प्राप्त गरिएका आदेशहरू वा बाइनरीहरू कार्यान्वयन गर्नुहोस्।
• HTTP POST अनुरोधहरू प्रयोग गरेर चोरी भएको डेटा एक्सफिल्टरेट गर्नुहोस्।

यो कार्यक्षमताले XDigo को भूमिकालाई गुप्त जानकारी सङ्कलनको लागि डिजाइन गरिएको जासुसी-उन्मुख चोरको रूपमा पुष्टि गर्छ।

लक्ष्य प्रोफाइल र रणनीतिक स्थिरता

अनुसन्धानकर्ताहरूले मिन्स्क क्षेत्रमा कम्तिमा एउटा लक्ष्य पुष्टि गरेका छन्, जसमा थप संकेतहरूले रूसी खुद्रा समूहहरू, वित्तीय संस्थाहरू, बीमा कम्पनीहरू, र सरकारी हुलाक सेवाहरू विरुद्धको कारबाहीलाई औंल्याएका छन्। यो पीडित विज्ञान XDSpy को ऐतिहासिक ध्यान, विशेष गरी पूर्वी युरोप र बेलारुसमा, सँग नजिकबाट मिल्छ।

छल्ने तरिकाहरू र रणनीतिक परिष्कार

XDSpy ले आधुनिक प्रतिरक्षाबाट बच्नको लागि बलियो क्षमता प्रदर्शन गरेको छ। उल्लेखनीय रूपमा, तिनीहरूको मालवेयर एक विशिष्ट स्यान्डबक्स समाधानबाट बच्न प्रयास गर्ने पहिलो थियो, जसले विकसित सुरक्षा परिदृश्यहरूको प्रतिक्रियामा उच्च स्तरको अनुकूलन र अनुकूलन क्षमता प्रतिबिम्बित गर्दछ।

सारांश: मुख्य बुँदाहरू

XDigo अभियानले प्रविधि र लक्षित रणनीतिहरूको परिष्कृत मिश्रण प्रदर्शन गर्दछ। यसमा विशेष रूपमा तयार पारिएको LNK फाइलहरू मार्फत ZDI-CAN-25373 को रूपमा पहिचान गरिएको विन्डोज जोखिमको शोषण समावेश थियो, साथै दुर्भावनापूर्ण गतिविधिलाई अस्पष्ट पार्न LNK पार्सिङ असंगतिहरूको हेरफेर पनि समावेश थियो। आक्रमणकारीहरूले दुष्ट कम्पोनेन्टहरू लोड गर्न पुन: नामाकरण गरिएको वैध कार्यान्वयनयोग्यहरू प्रयोग गरेर DLL साइडलोडिङमा पनि भर परेका थिए। कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधारसँग सञ्चार र चोरी गरिएको डाटाको एक्सफिल्टरेशन मानक HTTP प्रोटोकलहरू मार्फत सञ्चालन गरिएको थियो, जसले गर्दा चोरी र चोरीलाई सक्षम बनाइएको थियो।

लक्षित गर्ने सन्दर्भमा, अभियानले विशेष गरी बेलारुस र रूसमा सरकारी संस्थाहरूमा धेरै ध्यान केन्द्रित गर्‍यो। यसले वित्तीय र खुद्रा क्षेत्रहरू, साथै ठूला बीमा कम्पनीहरू र राष्ट्रिय हुलाक सेवाहरूमा पनि आफ्नो पहुँच विस्तार गर्‍यो। यो अपरेशनले राज्य-पङ्क्तिबद्ध खतरा अभिनेताहरूको निरन्तर नवीनतालाई रेखांकित गर्दछ र लुकेका खतराहरूको लागि LNK फाइलहरू जस्ता हानिरहित देखिने फाइल प्रकारहरूको पनि जाँच गर्ने महत्वपूर्ण आवश्यकतालाई बलियो बनाउँछ।