Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér XDigo

Škodlivý softvér XDigo

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú kybernetickú špionážnu kampaň zahŕňajúcu škodlivý softvér založený na platforme Go s názvom XDigo, ktorý bol nasadený v marci 2025 proti východoeurópskym vládnym organizáciám. Malvér je prepojený s pretrvávajúcou skupinou aktérov hrozby XDSpy, ktorá je v regióne aktívna minimálne od roku 2011.

Návrat XDSpy: Desaťročie sledovania

XDSpy je dobre zdokumentovaná kybernetická špionážna skupina známa útokmi na vládne agentúry vo východnej Európe a na Balkáne. XDSpy, ktorá bola prvýkrát verejne analyzovaná v roku 2020, si udržiava stabilný vzorec aktivít a v priebehu rokov vyvíja svoje nástroje a rozsah zacielenia.

Nedávne kampane pripisované tejto skupine zasiahli organizácie v Rusku a Moldavsku a nasadili rodiny škodlivého softvéru ako UTask, XDDown a DSDownloader – nástroje určené na sťahovanie ďalších údajov a odčerpávanie citlivých údajov z infikovaných systémov.

Zneužitie LNK: Skryté nebezpečenstvo za skratkami systému Windows

Kampaň XDigo využíva viacstupňový útočný reťazec, ktorý začína súbormi skratiek systému Windows (.LNK) a využíva zraniteľnosť umožňujúcu vzdialené spustenie kódu v systéme Microsoft Windows, ktorá bola sledovaná ako ZDI-CAN-25373 a bola verejne zverejnená v marci 2025.

Táto zraniteľnosť vyplýva z nesprávnej manipulácie so špeciálne vytvorenými súbormi LNK, čo umožňuje, aby škodlivý obsah zostal neviditeľný v používateľskom rozhraní, ale stále spúšťal kód v kontexte aktuálneho používateľa. Ďalšia kontrola odhalila podmnožinu deviatich takýchto súborov LNK, ktoré zneužívajú chybu v analýze spôsobenú čiastočnou implementáciou špecifikácie MS-SHLLINK (v8.0) spoločnosťou Microsoft.

Zmätok pri analýze: Špecifikácia vs. implementácia

Špecifikácia MS-SHLLINK umožňuje dĺžku reťazcov až 65 535 znakov, ale systém Windows 11 obmedzuje skutočný obsah na 259 znakov, pričom výnimkou sú argumenty príkazového riadka. Táto nezrovnalosť spôsobuje nekonzistentnosť v interpretácii súborov LNK na rôznych platformách.

Útočníci túto medzeru zneužívajú vytváraním súborov LNK, ktoré sa v závislosti od analyzátora zobrazujú ako platné alebo neplatné, čo umožňuje:

  • Vykonávanie neočakávaných alebo skrytých príkazov
  • Vyhýbanie sa detekcii používateľským rozhraním systému Windows aj analytickými nástrojmi tretích strán

Kombináciou tejto skutočnosti s technikami vypĺňania bielymi znakmi útočníci efektívne zakrývajú skutočný zámer skratky, čím zvyšujú šance na úspešné vykonanie bez upozornenia používateľov alebo bezpečnostných nástrojov.

Reťazec infekcie: ZIP archívy, návnady a bočné načítanie DLL súborov

Deväť identifikovaných škodlivých súborov LNK bolo distribuovaných v ZIP archívoch, pričom každý obsahoval ďalší ZIP archív, ktorý obsahoval:

  • Návnadový PDF dokument
  • Premenovaný legitímny spustiteľný súbor
  • Škodlivá knižnica DLL stiahnutá binárnym súborom

Táto knižnica DLL s názvom ETDownloader slúži ako prvá fáza užitočného zaťaženia určená na stiahnutie hlavného implantátu - XDigo.

XDigo: Zdokonalený kradca dát

XDigo je malvér založený na jazyku Go, ktorý je považovaný za evolúciu súboru UsrRunVGA.exe, ktorý bol predtým zdokumentovaný v októbri 2023. Je vybavený na:

  • Zber lokálnych súborov.
  • Zachytiť obsah schránky.
  • Urobte snímky obrazovky.
  • Vykonávať príkazy alebo binárne súbory načítané zo vzdialeného servera prostredníctvom HTTP GET.
  • Exfiltrujte ukradnuté dáta pomocou HTTP POST požiadaviek.

Táto funkcia potvrdzuje úlohu XDiga ako špionážne orientovaného zlodeja určeného na nenápadné zhromažďovanie informácií.

Profil cieľa a taktická konzistentnosť

Vyšetrovatelia potvrdili najmenej jeden cieľ v Minskej oblasti, pričom ďalšie náznaky poukazujú na operácie namierené proti ruským maloobchodným skupinám, finančným inštitúciám, poisťovniam a vládnym poštovým službám. Táto viktimológia úzko súvisí s historickým zameraním XDSpy, najmä na východnú Európu a Bielorusko.

Techniky úniku a taktická sofistikovanosť

XDSpy preukázal silnú schopnosť obchádzať moderné obranné mechanizmy. Je pozoruhodné, že ich malvér bol prvým, ktorý sa pokúsil obísť špecifické sandboxové riešenie, čo odráža vysoký stupeň prispôsobiteľnosti a adaptability v reakcii na meniace sa bezpečnostné prostredie.

Zhrnutie: Kľúčové poznatky

Kampaň XDigo predstavuje sofistikovanú kombináciu techník a stratégií zacielenia. Zahŕňala zneužitie zraniteľnosti systému Windows identifikovanej ako ZDI-CAN-25373 prostredníctvom špeciálne vytvorených súborov LNK a manipuláciu s nekonzistentnosťami pri analýze LNK s cieľom zamaskovať škodlivú aktivitu. Útočníci sa tiež spoliehali na bočné načítavanie DLL pomocou premenovaných legitímnych spustiteľných súborov na načítanie falošných komponentov. Komunikácia s infraštruktúrou velenia a riadenia a exfiltrácia ukradnutých údajov prebiehali cez štandardné protokoly HTTP, čo umožňovalo nenápadnosť a úniky.

Pokiaľ ide o cielenie, kampaň sa vo veľkej miere zamerala na vládne subjekty, najmä v Bielorusku a Rusku. Rozšírila sa aj na finančný a maloobchodný sektor, ako aj na veľké poisťovne a národné poštové služby. Táto operácia podčiarkuje neustálu inováciu aktérov ohrozenia spojených so štátom a posilňuje kritickú potrebu skúmať aj zdanlivo neškodné typy súborov, ako sú súbory LNK, a hľadať skryté hrozby.

Trendy

Najviac videné

Načítava...