Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware XDigo-malware

XDigo-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe cyberespionagecampagne ontdekt waarbij een op Go gebaseerde stealer genaamd XDigo betrokken is. Deze werd in maart 2025 ingezet tegen Oost-Europese overheidsorganisaties. De malware is gelinkt aan de groep XDSpy, een groep aanhoudende dreigingsactoren die al sinds minstens 2011 actief is in de regio.

De terugkeer van XDSpy: een decennium van bewaking

XDSpy is een goed gedocumenteerde cyberspionagegroep die bekendstaat om haar aanvallen op overheidsinstanties in Oost-Europa en de Balkan. XDSpy werd voor het eerst publiekelijk geanalyseerd in 2020 en heeft een stabiel patroon van activiteit behouden, waarbij de toolkit en de reikwijdte van de aanvallen in de loop der jaren zijn ontwikkeld.

Recente campagnes die aan de groep worden toegeschreven, troffen organisaties in Rusland en Moldavië, waarbij malwarefamilies zoals UTask, XDDown en DSDownloader werden ingezet: tools die zijn ontworpen om extra payloads te downloaden en gevoelige gegevens van geïnfecteerde systemen te stelen.

LNK-exploits: het verborgen gevaar achter Windows-snelkoppelingen

De XDigo-campagne maakt gebruik van een aanvalsketen in meerdere fasen, beginnend met Windows-snelkoppelingsbestanden (.LNK). Hierbij wordt misbruik gemaakt van een kwetsbaarheid in Microsoft Windows die het mogelijk maakt code op afstand uit te voeren. Deze kwetsbaarheid werd geregistreerd als ZDI-CAN-25373 en is in maart 2025 openbaar gemaakt.

Deze kwetsbaarheid ontstaat door onjuiste verwerking van speciaal vervaardigde LNK-bestanden, waardoor schadelijke content onzichtbaar blijft in de gebruikersinterface, maar toch code uitvoert in de context van de huidige gebruiker. Nadere inspectie bracht een subset van negen van dergelijke LNK-bestanden aan het licht, die misbruik maakten van een fout in de parsing-verwarring die werd veroorzaakt door Microsofts gedeeltelijke implementatie van de MS-SHLLINK-specificatie (v8.0).

Verwarring rond parsen: specificatie versus implementatie

De MS-SHLLINK-specificatie staat tekenreekslengtes tot 65.535 tekens toe, maar Windows 11 beperkt de daadwerkelijke inhoud tot 259 tekens, met opdrachtregelargumenten als uitzondering. Deze discrepantie leidt tot inconsistenties in de manier waarop LNK-bestanden op verschillende platforms worden geïnterpreteerd.

Aanvallers misbruiken deze leemte door LNK-bestanden te creëren die, afhankelijk van de parser, geldig of ongeldig lijken, waardoor het volgende mogelijk is:

  • Uitvoering van onverwachte of verborgen opdrachten
  • Detectie ontwijken door zowel de Windows-gebruikersinterface als analysetools van derden

Door dit te combineren met technieken voor het opvullen van witruimte, kunnen kwaadwillenden effectief de werkelijke bedoeling van de snelkoppeling verbergen. Hierdoor wordt de kans op een succesvolle uitvoering vergroot, zonder dat gebruikers of beveiligingstools worden gewaarschuwd.

Infectieketen: ZIP-archieven, lokmiddelen en DLL-sideloading

De negen geïdentificeerde schadelijke LNK-bestanden werden verspreid in ZIP-archieven, die elk een ander ZIP-archief bevatten met daarin het volgende:

  • Een vals PDF-document
  • Een legitiem uitvoerbaar bestand hernoemd
  • Een kwaadaardige DLL die door het binaire bestand is geladen

Deze DLL, ETDownloader genaamd, dient als een eerste-fase-payload die is ontworpen om het hoofdimplantaat - XDigo - te downloaden.

XDigo: een verfijnde data-stealer

XDigo is een op Go gebaseerde malware-implantaat waarvan is vastgesteld dat het een evolutie is van UsrRunVGA.exe, dat eerder in oktober 2023 werd gedocumenteerd. Het is uitgerust om:

  • Oogst lokale bestanden.
  • Klembordinhoud vastleggen.
  • Maak schermafbeeldingen.
  • Voer opdrachten of binaire bestanden uit die u van een externe server hebt opgehaald via HTTP GET.
  • Exfiltreer gestolen gegevens met behulp van HTTP POST-verzoeken.

Deze functionaliteit bevestigt de rol van XDigo als een spionagegerichte stealer die is ontworpen voor het heimelijk verzamelen van informatie.

Doelprofiel en tactische consistentie

Onderzoekers hebben ten minste één doelwit in de regio Minsk bevestigd, met verdere aanwijzingen die wijzen op operaties tegen Russische retailgroepen, financiële instellingen, verzekeringsmaatschappijen en overheidspostdiensten. Deze slachtofferrol sluit nauw aan bij de historische focus van XDSpy, met name op Oost-Europa en Wit-Rusland.

Ontwijkingstechnieken en tactische verfijning

XDSpy heeft bewezen een sterk vermogen te hebben om moderne verdedigingsmechanismen te omzeilen. Hun malware was met name de eerste die een specifieke sandbox-oplossing probeerde te omzeilen, wat een hoge mate van maatwerk en aanpassingsvermogen weerspiegelt in reactie op veranderende beveiligingslandschappen.

Samenvatting: Belangrijkste punten

De XDigo-campagne toont een geavanceerde mix van technieken en targetingstrategieën. Het omvatte het uitbuiten van een Windows-kwetsbaarheid, geïdentificeerd als ZDI-CAN-25373, via speciaal vervaardigde LNK-bestanden, en het manipuleren van inconsistenties in LNK-parsing om kwaadaardige activiteiten te verhullen. Aanvallers maakten ook gebruik van DLL-sideloading door hernoemde, legitieme uitvoerbare bestanden te gebruiken om malafide componenten te laden. Communicatie met de command-and-control-infrastructuur en de exfiltratie van gestolen gegevens vonden plaats via standaard HTTP-protocollen, wat stealth en ontwijking mogelijk maakte.

Qua targeting richtte de campagne zich sterk op overheidsinstanties, met name in Wit-Rusland en Rusland. Ook de financiële en retailsector, grote verzekeringsmaatschappijen en nationale postdiensten werden bereikt. Deze actie onderstreept de aanhoudende innovatie van aan de staat gelieerde dreigingsactoren en onderstreept de dringende noodzaak om zelfs schijnbaar onschuldige bestandstypen, zoals LNK-bestanden, te controleren op verborgen bedreigingen.

Trending

Meest bekeken

Bezig met laden...