Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe XDigo

Oprogramowanie złośliwe XDigo

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli nową kampanię cybernetycznego szpiegostwa z udziałem złodzieja opartego na Go o nazwie XDigo, który został wdrożony w marcu 2025 r. przeciwko organizacjom rządowym Europy Wschodniej. Złośliwe oprogramowanie jest powiązane z grupą stale atakujących XDSpy, aktywną w regionie od co najmniej 2011 r.

Powrót XDSpy: Dekada inwigilacji

XDSpy to dobrze udokumentowana grupa cybernetycznego szpiegostwa, znana z atakowania agencji rządowych w Europie Wschodniej i na Bałkanach. Po raz pierwszy publicznie przeanalizowana w 2020 r., XDSpy utrzymuje stały wzorzec aktywności, rozwijając swój zestaw narzędzi i zakres ataków na przestrzeni lat.

Ostatnie kampanie przypisywane tej grupie dotknęły organizacje w Rosji i Mołdawii, wdrażając rodziny złośliwego oprogramowania, takie jak UTask, XDDown i DSDownloader — narzędzia służące do pobierania dodatkowych ładunków i wykradania poufnych danych z zainfekowanych systemów.

LNK Exploits: Ukryte zagrożenie w skrótach Windows

Kampania XDigo wykorzystuje wieloetapowy łańcuch ataków rozpoczynający się od plików skrótów systemu Windows (.LNK), wykorzystując lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu w systemie Microsoft Windows, śledzoną jako ZDI-CAN-25373, ujawnioną publicznie w marcu 2025 r.

Ta luka wynika z nieprawidłowego obchodzenia się ze specjalnie spreparowanymi plikami LNK, co pozwala złośliwej zawartości pozostać niewidoczną w interfejsie użytkownika, ale nadal wykonywać kod w kontekście bieżącego użytkownika. Dalsza inspekcja ujawniła podzbiór dziewięciu takich plików LNK, wykorzystujących lukę w parsowaniu spowodowaną częściową implementacją specyfikacji MS-SHLLINK (v8.0) przez Microsoft.

Analiza składniowa: Specyfikacja kontra Implementacja

Specyfikacja MS-SHLLINK dopuszcza długość ciągu do 65 535 znaków, ale system Windows 11 ogranicza rzeczywistą zawartość do 259 znaków, a wyjątkiem są argumenty wiersza poleceń. Ta niezgodność wprowadza niespójności w sposobie interpretacji plików LNK na różnych platformach.

Napastnicy wykorzystują tę lukę, tworząc pliki LNK, które w zależności od parsera wydają się prawidłowe lub nieprawidłowe, umożliwiając:

  • Wykonywanie nieoczekiwanych lub ukrytych poleceń
  • Unikanie wykrycia przez interfejs użytkownika systemu Windows i narzędzia analityczne innych firm

Łącząc tę metodę z technikami wypełniania spacjami, atakujący skutecznie ukrywają prawdziwy cel skrótu, zwiększając szanse na jego pomyślne wykonanie bez powiadamiania użytkowników lub narzędzi bezpieczeństwa.

Łańcuch infekcji: Archiwa ZIP, przynęty i boczne ładowanie bibliotek DLL

Zidentyfikowano dziewięć złośliwych plików LNK, które rozpowszechniano w archiwach ZIP. Każde z nich zawierało inne archiwum ZIP zawierające następujące elementy:

  • Dokument PDF wabiący
  • Zmieniono nazwę legalnego pliku wykonywalnego
  • Złośliwa biblioteka DLL załadowana bocznie przez plik binarny

Ta biblioteka DLL o nazwie ETDownloader pełni funkcję ładunku pierwszego etapu, którego zadaniem jest pobranie głównego implantu — XDigo.

XDigo: Wyrafinowany złodziej danych

XDigo to implant złośliwego oprogramowania oparty na języku Go, który został uznany za ewolucję UsrRunVGA.exe, wcześniej udokumentowanego w październiku 2023 r. Jest on wyposażony w:

  • Zbieraj pliki lokalne.
  • Przechwyć zawartość schowka.
  • Zrób zrzuty ekranu.
  • Wykonuj polecenia lub pliki binarne pobrane ze zdalnego serwera za pomocą protokołu HTTP GET.
  • Wykradaj skradzione dane korzystając z żądań HTTP POST.

Funkcjonalność ta potwierdza rolę XDigo jako programu szpiegowskiego służącego do kradzieży informacji w sposób dyskretny.

Profil docelowy i spójność taktyczna

Śledczy potwierdzili co najmniej jeden cel w obwodzie mińskim, a dalsze oznaki wskazują na operacje przeciwko rosyjskim grupom detalicznym, instytucjom finansowym, firmom ubezpieczeniowym i rządowym usługom pocztowym. Ta wiktymologia ściśle pokrywa się z historycznym skupieniem XDSpy, szczególnie na Europie Wschodniej i Białorusi.

Techniki unikania i wyrafinowanie taktyczne

XDSpy wykazało silne zdolności do omijania nowoczesnych zabezpieczeń. Co godne uwagi, ich malware było pierwszym, które próbowało ominąć konkretne rozwiązanie sandbox, odzwierciedlając wysoki stopień dostosowania i adaptacji w odpowiedzi na zmieniające się krajobrazy bezpieczeństwa.

Podsumowanie: Najważniejsze wnioski

Kampania XDigo prezentuje wyrafinowane połączenie technik i strategii kierowania. Obejmowała ona wykorzystanie luki w zabezpieczeniach systemu Windows zidentyfikowanej jako ZDI-CAN-25373 za pomocą specjalnie spreparowanych plików LNK, a także manipulację niespójnościami analizy składniowej LNK w celu ukrycia złośliwej aktywności. Atakujący polegali również na bocznym ładowaniu DLL, używając przemianowanych legalnych plików wykonywalnych do ładowania nieuczciwych komponentów. Komunikacja z infrastrukturą dowodzenia i kontroli oraz eksfiltracja skradzionych danych odbywały się za pośrednictwem standardowych protokołów HTTP, umożliwiając ukrycie i unikanie.

Pod względem targetowania kampania koncentrowała się głównie na podmiotach rządowych, szczególnie na Białorusi i w Rosji. Rozszerzyła również swój zasięg na sektory finansowy i detaliczny, a także duże firmy ubezpieczeniowe i krajowe usługi pocztowe. Ta operacja podkreśla stałą innowacyjność podmiotów stanowiących zagrożenie powiązanych z państwem i wzmacnia krytyczną potrzebę badania nawet pozornie nieszkodliwych typów plików, takich jak pliki LNK, pod kątem ukrytych zagrożeń.

Popularne

Najczęściej oglądane

Ładowanie...