XDigo Malware

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੀਂ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸ ਵਿੱਚ XDigo ਨਾਮਕ ਇੱਕ ਗੋ-ਅਧਾਰਤ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਸਨੂੰ ਮਾਰਚ 2025 ਵਿੱਚ ਪੂਰਬੀ ਯੂਰਪੀਅਨ ਸਰਕਾਰੀ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਮਾਲਵੇਅਰ ਸਥਾਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸਮੂਹ XDSpy ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜੋ ਘੱਟੋ ਘੱਟ 2011 ਤੋਂ ਇਸ ਖੇਤਰ ਵਿੱਚ ਸਰਗਰਮ ਹੈ।

XDSpy ਦੀ ਵਾਪਸੀ: ਨਿਗਰਾਨੀ ਦਾ ਇੱਕ ਦਹਾਕਾ

XDSpy ਇੱਕ ਚੰਗੀ ਤਰ੍ਹਾਂ ਦਸਤਾਵੇਜ਼ੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਹੈ ਜੋ ਪੂਰਬੀ ਯੂਰਪ ਅਤੇ ਬਾਲਕਨ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸਰਕਾਰੀ ਏਜੰਸੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। 2020 ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਜਨਤਕ ਤੌਰ 'ਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਗਿਆ, XDSpy ਨੇ ਗਤੀਵਿਧੀ ਦਾ ਇੱਕ ਸਥਿਰ ਪੈਟਰਨ ਬਣਾਈ ਰੱਖਿਆ ਹੈ, ਸਾਲਾਂ ਦੌਰਾਨ ਆਪਣੀ ਟੂਲਕਿੱਟ ਅਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਦਾਇਰੇ ਨੂੰ ਵਿਕਸਤ ਕੀਤਾ ਹੈ।

ਇਸ ਸਮੂਹ ਨਾਲ ਜੁੜੀਆਂ ਹਾਲੀਆ ਮੁਹਿੰਮਾਂ ਨੇ ਰੂਸ ਅਤੇ ਮੋਲਡੋਵਾ ਵਿੱਚ ਸੰਗਠਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕੀਤਾ ਹੈ, ਜਿਸ ਵਿੱਚ UTask, XDDown, ਅਤੇ DSDownloader ਵਰਗੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ - ਇਹ ਟੂਲ ਵਾਧੂ ਪੇਲੋਡ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਸਾਈਫਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ।

LNK ਦੇ ਕਾਰਨਾਮੇ: ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟਾਂ ਦੇ ਪਿੱਛੇ ਲੁਕਿਆ ਖ਼ਤਰਾ

XDigo ਮੁਹਿੰਮ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜੋ ਵਿੰਡੋਜ਼ ਸ਼ਾਰਟਕੱਟ ਫਾਈਲਾਂ (.LNK) ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਇੱਕ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ ਜਿਸਨੂੰ ZDI-CAN-25373 ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦਾ ਜਨਤਕ ਤੌਰ 'ਤੇ ਮਾਰਚ 2025 ਵਿੱਚ ਖੁਲਾਸਾ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਹ ਕਮਜ਼ੋਰੀ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀਆਂ LNK ਫਾਈਲਾਂ ਦੇ ਗਲਤ ਪ੍ਰਬੰਧਨ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਯੂਜ਼ਰ ਇੰਟਰਫੇਸ ਵਿੱਚ ਅਦਿੱਖ ਰਹਿੰਦੀ ਹੈ ਪਰ ਫਿਰ ਵੀ ਮੌਜੂਦਾ ਯੂਜ਼ਰ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਕੋਡ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ। ਹੋਰ ਨਿਰੀਖਣ ਨੇ ਨੌਂ ਅਜਿਹੀਆਂ LNK ਫਾਈਲਾਂ ਦੇ ਇੱਕ ਉਪ ਸਮੂਹ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜੋ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੁਆਰਾ MS-SHLLINK ਨਿਰਧਾਰਨ (v8.0) ਦੇ ਅੰਸ਼ਕ ਲਾਗੂਕਰਨ ਕਾਰਨ ਹੋਈ ਪਾਰਸਿੰਗ ਉਲਝਣ ਵਾਲੀ ਗਲਤੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।

ਪਾਰਸਿੰਗ ਉਲਝਣ: ਨਿਰਧਾਰਨ ਬਨਾਮ ਲਾਗੂਕਰਨ

MS-SHLLINK ਸਪੈਕ 65,535 ਅੱਖਰਾਂ ਤੱਕ ਦੀ ਸਟ੍ਰਿੰਗ ਲੰਬਾਈ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਪਰ Windows 11 ਅਸਲ ਸਮੱਗਰੀ ਨੂੰ 259 ਅੱਖਰਾਂ ਤੱਕ ਸੀਮਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਮਾਂਡ-ਲਾਈਨ ਆਰਗੂਮੈਂਟ ਅਪਵਾਦ ਹਨ। ਇਹ ਬੇਮੇਲ LNK ਫਾਈਲਾਂ ਨੂੰ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕਿਵੇਂ ਵਿਆਖਿਆ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਇਸ ਵਿੱਚ ਅਸੰਗਤੀਆਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ।

ਹਮਲਾਵਰ ਇਸ ਪਾੜੇ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ, LNK ਫਾਈਲਾਂ ਤਿਆਰ ਕਰਕੇ ਜੋ ਪਾਰਸਰ ਦੇ ਆਧਾਰ 'ਤੇ ਵੈਧ ਜਾਂ ਅਵੈਧ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ, ਇਹ ਸਮਰੱਥ ਬਣਾਉਂਦੀਆਂ ਹਨ:

• ਅਣਕਿਆਸੇ ਜਾਂ ਲੁਕਵੇਂ ਹੁਕਮਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ
• Windows UI ਅਤੇ ਤੀਜੀ-ਧਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲ ਦੋਵਾਂ ਦੁਆਰਾ ਬਚ ਕੇ ਖੋਜ

ਇਸਨੂੰ ਵ੍ਹਾਈਟਸਪੇਸ ਪੈਡਿੰਗ ਤਕਨੀਕਾਂ ਨਾਲ ਜੋੜ ਕੇ, ਵਿਰੋਧੀ ਸ਼ਾਰਟਕੱਟ ਦੇ ਅਸਲ ਉਦੇਸ਼ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਅਸਪਸ਼ਟ ਕਰ ਦਿੰਦੇ ਹਨ, ਉਪਭੋਗਤਾਵਾਂ ਜਾਂ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਨੂੰ ਸੁਚੇਤ ਕੀਤੇ ਬਿਨਾਂ ਸਫਲ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀਆਂ ਸੰਭਾਵਨਾਵਾਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ: ਜ਼ਿਪ ਆਰਕਾਈਵਜ਼, ਡੀਕੋਇਸ, ਅਤੇ ਡੀਐਲਐਲ ਸਾਈਡਲੋਡਿੰਗ

ਪਛਾਣੀਆਂ ਗਈਆਂ ਨੌਂ ਖਤਰਨਾਕ LNK ਫਾਈਲਾਂ ਨੂੰ ZIP ਆਰਕਾਈਵ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਸੀ, ਹਰੇਕ ਵਿੱਚ ਇੱਕ ਹੋਰ ZIP ਆਰਕਾਈਵ ਸੀ ਜੋ ਬੰਡਲ ਕਰਦਾ ਸੀ:

• ਇੱਕ ਡੀਕੋਏ PDF ਦਸਤਾਵੇਜ਼
• ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦਾ ਨਾਮ ਬਦਲਿਆ ਗਿਆ
• ਬਾਈਨਰੀ ਦੁਆਰਾ ਸਾਈਡਲੋਡ ਕੀਤਾ ਗਿਆ ਇੱਕ ਖਤਰਨਾਕ DLL

ਇਹ DLL, ਜਿਸਦਾ ਨਾਮ ETDownloader ਹੈ, ਮੁੱਖ ਇਮਪਲਾਂਟ - XDigo ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

XDigo: ਇੱਕ ਸੁਧਾਰਿਆ ਡਾਟਾ ਚੋਰੀ ਕਰਨ ਵਾਲਾ

XDigo ਇੱਕ Go-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਇਮਪਲਾਂਟ ਹੈ ਜਿਸਨੂੰ UsrRunVGA.exe ਦਾ ਵਿਕਾਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸਦਾ ਪਹਿਲਾਂ ਅਕਤੂਬਰ 2023 ਵਿੱਚ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਇਹਨਾਂ ਲਈ ਲੈਸ ਹੈ:

• ਸਥਾਨਕ ਫਾਈਲਾਂ ਇਕੱਠੀਆਂ ਕਰੋ।
• ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ ਨੂੰ ਕੈਪਚਰ ਕਰੋ।
• ਸਕਰੀਨਸ਼ਾਟ ਲਓ।
• HTTP GET ਰਾਹੀਂ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਜਾਂ ਬਾਈਨਰੀਆਂ ਨੂੰ ਚਲਾਓ।
• HTTP POST ਬੇਨਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢੋ।

ਇਹ ਕਾਰਜਸ਼ੀਲਤਾ XDigo ਦੀ ਭੂਮਿਕਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀ ਹੈ ਜੋ ਇੱਕ ਜਾਸੂਸੀ-ਮੁਖੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਵਜੋਂ ਹੈ ਜੋ ਗੁਪਤ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਟੀਚਾ ਪ੍ਰੋਫਾਈਲ ਅਤੇ ਰਣਨੀਤਕ ਇਕਸਾਰਤਾ

ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ ਮਿੰਸਕ ਖੇਤਰ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ ਇੱਕ ਨਿਸ਼ਾਨੇ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਹੋਰ ਸੰਕੇਤ ਰੂਸੀ ਪ੍ਰਚੂਨ ਸਮੂਹਾਂ, ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ, ਬੀਮਾ ਕੰਪਨੀਆਂ ਅਤੇ ਸਰਕਾਰੀ ਡਾਕ ਸੇਵਾਵਾਂ ਵਿਰੁੱਧ ਕਾਰਵਾਈਆਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਇਹ ਪੀੜਤ ਵਿਗਿਆਨ XDSpy ਦੇ ਇਤਿਹਾਸਕ ਫੋਕਸ, ਖਾਸ ਕਰਕੇ ਪੂਰਬੀ ਯੂਰਪ ਅਤੇ ਬੇਲਾਰੂਸ 'ਤੇ, ਨਾਲ ਨੇੜਿਓਂ ਮੇਲ ਖਾਂਦਾ ਹੈ।

ਚੋਰੀ ਦੀਆਂ ਤਕਨੀਕਾਂ ਅਤੇ ਰਣਨੀਤਕ ਸੂਝ-ਬੂਝ

XDSpy ਨੇ ਆਧੁਨਿਕ ਰੱਖਿਆ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਮਜ਼ਬੂਤ ਸਮਰੱਥਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਉਨ੍ਹਾਂ ਦਾ ਮਾਲਵੇਅਰ ਇੱਕ ਖਾਸ ਸੈਂਡਬੌਕਸ ਹੱਲ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਵਾਲਾ ਪਹਿਲਾ ਸੀ, ਜੋ ਕਿ ਵਿਕਸਤ ਸੁਰੱਖਿਆ ਦ੍ਰਿਸ਼ਾਂ ਦੇ ਜਵਾਬ ਵਿੱਚ ਉੱਚ ਪੱਧਰੀ ਅਨੁਕੂਲਤਾ ਅਤੇ ਅਨੁਕੂਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਸੰਖੇਪ: ਮੁੱਖ ਨੁਕਤੇ

XDigo ਮੁਹਿੰਮ ਤਕਨੀਕਾਂ ਅਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਦੇ ਇੱਕ ਸੂਝਵਾਨ ਮਿਸ਼ਰਣ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੀ ਹੈ। ਇਸ ਵਿੱਚ ਖਾਸ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀਆਂ LNK ਫਾਈਲਾਂ ਰਾਹੀਂ ZDI-CAN-25373 ਵਜੋਂ ਪਛਾਣੀ ਗਈ Windows ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਸ਼ਾਮਲ ਸੀ, ਨਾਲ ਹੀ LNK ਨੂੰ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਅਸੰਗਤੀਆਂ ਨੂੰ ਪਾਰਸ ਕਰਨ ਦੀ ਹੇਰਾਫੇਰੀ ਵੀ ਸ਼ਾਮਲ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ ਠੱਗ ਹਿੱਸਿਆਂ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਨਾਮ ਬਦਲੇ ਗਏ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਵਰਤੋਂ ਕਰਕੇ DLL ਸਾਈਡਲੋਡਿੰਗ 'ਤੇ ਵੀ ਭਰੋਸਾ ਕੀਤਾ। ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਸੰਚਾਰ ਅਤੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਮਿਆਰੀ HTTP ਪ੍ਰੋਟੋਕੋਲ 'ਤੇ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਚੋਰੀ ਅਤੇ ਚੋਰੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਸੀ।

ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਮੁਹਿੰਮ ਨੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕੀਤਾ, ਖਾਸ ਕਰਕੇ ਬੇਲਾਰੂਸ ਅਤੇ ਰੂਸ ਵਿੱਚ। ਇਸਨੇ ਵਿੱਤੀ ਅਤੇ ਪ੍ਰਚੂਨ ਖੇਤਰਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਵੱਡੀਆਂ ਬੀਮਾ ਕੰਪਨੀਆਂ ਅਤੇ ਰਾਸ਼ਟਰੀ ਡਾਕ ਸੇਵਾਵਾਂ ਤੱਕ ਵੀ ਆਪਣੀ ਪਹੁੰਚ ਵਧਾ ਦਿੱਤੀ। ਇਹ ਕਾਰਵਾਈ ਰਾਜ-ਅਨੁਕੂਲ ਧਮਕੀ ਅਦਾਕਾਰਾਂ ਦੀ ਨਿਰੰਤਰ ਨਵੀਨਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ ਅਤੇ ਲੁਕਵੇਂ ਖਤਰਿਆਂ ਲਈ LNK ਫਾਈਲਾਂ ਵਰਗੀਆਂ ਪ੍ਰਤੀਤ ਹੋਣ ਵਾਲੀਆਂ ਨੁਕਸਾਨ ਰਹਿਤ ਫਾਈਲ ਕਿਸਮਾਂ ਦੀ ਵੀ ਜਾਂਚ ਕਰਨ ਦੀ ਮਹੱਤਵਪੂਰਨ ਜ਼ਰੂਰਤ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।