Скидка на мультилицензию
База данных угроз Вредоносное ПО Вредоносное ПО XDigo

Вредоносное ПО XDigo

К Mezo году в Вредоносное ПО, Расширенная постоянная угроза (APT) году
Перевести на:

Исследователи кибербезопасности раскрыли новую кампанию кибершпионажа с использованием стилера на основе Go под названием XDigo, который был развернут в марте 2025 года против правительственных организаций Восточной Европы. Вредоносное ПО связано с устойчивой группой злоумышленников XDSpy, действующей в регионе по крайней мере с 2011 года.

Возвращение XDSpy: десятилетие слежки

XDSpy — хорошо документированная группа кибершпионажа, известная своими атаками на правительственные учреждения по всей Восточной Европе и на Балканах. Впервые публично проанализированная в 2020 году, XDSpy поддерживала устойчивую модель активности, развивая свой инструментарий и сферу атаки на протяжении многих лет.

Недавние кампании, приписываемые этой группировке, нанесли удар по организациям в России и Молдове, внедряя такие семейства вредоносных программ, как UTask, XDDown и DSDownloader — инструменты, предназначенные для загрузки дополнительных полезных нагрузок и извлечения конфиденциальных данных из зараженных систем.

Эксплойты LNK: скрытая опасность за ярлыками Windows

Кампания XDigo использует многоэтапную цепочку атак, которая начинается с файлов ярлыков Windows (.LNK), эксплуатируя уязвимость удаленного выполнения кода в Microsoft Windows, идентифицируемую как ZDI-CAN-25373, публично раскрытую в марте 2025 года.

Эта уязвимость возникает из-за неправильной обработки специально созданных LNK-файлов, что позволяет вредоносному контенту оставаться невидимым в пользовательском интерфейсе, но при этом выполнять код в контексте текущего пользователя. Дальнейшая проверка выявила подмножество из девяти таких LNK-файлов, эксплуатирующих ошибку синтаксической путаницы, вызванную частичной реализацией Microsoft спецификации MS-SHLLINK (v8.0).

Путаница в синтаксическом анализе: спецификация против реализации

Спецификация MS-SHLLINK допускает длину строки до 65 535 символов, но Windows 11 ограничивает фактическое содержимое 259 символами, за исключением аргументов командной строки. Это несоответствие приводит к несоответствиям в том, как файлы LNK интерпретируются на разных платформах.

Злоумышленники используют эту брешь, создавая LNK-файлы, которые кажутся действительными или недействительными в зависимости от анализатора, что позволяет:

  • Выполнение неожиданных или скрытых команд
  • Избегание обнаружения как пользовательским интерфейсом Windows, так и сторонними инструментами анализа

Объединяя это с методами заполнения пробелами, злоумышленники эффективно скрывают истинное назначение ярлыка, увеличивая шансы на успешное выполнение без оповещения пользователей или средств безопасности.

Цепочка заражения: ZIP-архивы, приманки и сторонняя загрузка DLL

Выявленные девять вредоносных LNK-файлов распространялись в ZIP-архивах, каждый из которых содержал другой ZIP-архив, включающий в себя:

  • Поддельный PDF-документ
  • Легитимный исполняемый файл переименован
  • Вредоносная DLL, загруженная двоичным файлом

Эта DLL, называемая ETDownloader, служит в качестве полезной нагрузки первого этапа, предназначенной для загрузки основного импланта — XDigo.

XDigo: Изысканный похититель данных

XDigo — вредоносный программный имплант на основе Go, который, по оценкам, является развитием UsrRunVGA.exe, ранее задокументированного в октябре 2023 года. Он оснащен следующими функциями:

  • Собирайте локальные файлы.
  • Захват содержимого буфера обмена.
  • Делайте скриншоты.
  • Выполнять команды или двоичные файлы, полученные с удаленного сервера через HTTP GET.
  • Извлеките украденные данные с помощью HTTP-запросов POST.

Эта функциональность подтверждает роль XDigo как шпионского похитителя, предназначенного для скрытного сбора информации.

Профиль цели и тактическая согласованность

Следователи подтвердили наличие по крайней мере одной цели в Минской области, а также другие признаки, указывающие на операции против российских розничных групп, финансовых учреждений, страховых компаний и государственных почтовых служб. Эта виктимология тесно связана с историческим фокусом XDSpy, особенно на Восточной Европе и Беларуси.

Методы уклонения и тактическая изощренность

XDSpy продемонстрировал высокую способность обходить современные защиты. Примечательно, что их вредоносное ПО было первым, кто попытался обойти определенное решение-песочницу, что отражает высокую степень настройки и адаптивности в ответ на меняющиеся ландшафты безопасности.

Резюме: основные выводы

Кампания XDigo демонстрирует сложную смесь методов и стратегий нацеливания. Она включала эксплуатацию уязвимости Windows, идентифицированной как ZDI-CAN-25373, через специально созданные файлы LNK, а также манипуляцию несоответствиями анализа LNK для сокрытия вредоносной активности. Злоумышленники также полагались на стороннюю загрузку DLL, используя переименованные легитимные исполняемые файлы для загрузки мошеннических компонентов. Связь с инфраструктурой управления и контроля и эксфильтрация украденных данных осуществлялись по стандартным протоколам HTTP, что позволяло скрытно и уклоняться.

С точки зрения таргетинга кампания была в основном сосредоточена на государственных структурах, особенно в Беларуси и России. Она также распространила свое влияние на финансовый и розничный секторы, а также на крупные страховые компании и национальные почтовые службы. Эта операция подчеркивает постоянные инновации субъектов угроз, связанных с государством, и усиливает критическую необходимость тщательной проверки даже, казалось бы, безобидных типов файлов, таких как файлы LNK, на предмет скрытых угроз.

В тренде

Наиболее просматриваемые

Загрузка...