Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema XDigo

Zlonamerna programska oprema XDigo

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili novo kampanjo kibernetskega vohunjenja, v katero je bil vpleten tat, imenovan XDigo, ki temelji na Go in je bil marca 2025 uporabljen proti vzhodnoevropskim vladnim organizacijam. Zlonamerna programska oprema je povezana s skupino XDSpy, ki je v regiji aktivna vsaj od leta 2011.

Vrnitev XDSpyja: Desetletje nadzora

XDSpy je dobro dokumentirana skupina za kibernetsko vohunjenje, znana po napadih na vladne agencije po vzhodni Evropi in Balkanu. XDSpy, ki je bil prvič javno analiziran leta 2020, je ohranil stalen vzorec aktivnosti, skozi leta pa je razvijal svoj nabor orodij in obseg ciljanja.

Nedavne kampanje, pripisane tej skupini, so prizadele organizacije v Rusiji in Moldaviji, pri čemer so uporabljale družine zlonamerne programske opreme, kot so UTask, XDDown in DSDown – orodja, zasnovana za prenos dodatnih koristnih tovorov in krajo občutljivih podatkov iz okuženih sistemov.

Izkoriščanje LNK: Skrita nevarnost za bližnjicami sistema Windows

Kampanja XDigo uporablja večstopenjsko verigo napadov, ki se začne z bližnjicami sistema Windows (.LNK) in izkorišča ranljivost oddaljenega izvajanja kode v sistemu Microsoft Windows, ki je bila označena kot ZDI-CAN-25373 in je bila javno razkrita marca 2025.

Ta ranljivost izhaja iz nepravilnega ravnanja s posebej izdelanimi datotekami LNK, kar omogoča, da zlonamerna vsebina ostane nevidna v uporabniškem vmesniku, vendar še vedno izvaja kodo v kontekstu trenutnega uporabnika. Nadaljnji pregled je razkril podmnožico devetih takšnih datotek LNK, ki izkoriščajo napako zmede pri razčlenjevanju, ki jo je povzročila delna implementacija specifikacije MS-SHLLINK (v8.0) s strani Microsofta.

Zmeda pri razčlenjevanju: specifikacija v primerjavi z implementacijo

Specifikacija MS-SHLLINK dovoljuje dolžino nizov do 65.535 znakov, vendar Windows 11 dejansko vsebino omejuje na 259 znakov, z izjemo argumentov ukazne vrstice. To neskladje povzroča nedoslednosti v načinu interpretacije datotek LNK na različnih platformah.

Napadalci to vrzel izkoristijo tako, da ustvarijo datoteke LNK, ki so glede na razčlenjevalnik videti veljavne ali neveljavne, kar omogoča:

  • Izvajanje nepričakovanih ali skritih ukazov
  • Izogibanje zaznavanju s strani uporabniškega vmesnika sistema Windows in orodij za analizo drugih ponudnikov

Z združitvijo tega s tehnikami zapolnjevanja s presledki nasprotniki učinkovito prikrijejo pravi namen bližnjice in povečajo možnosti za uspešno izvedbo, ne da bi opozorili uporabnike ali varnostna orodja.

Veriga okužbe: ZIP arhivi, vabe in stransko nalaganje DLL datotek

Devet identificiranih zlonamernih datotek LNK je bilo distribuiranih v arhivih ZIP, od katerih je vsak vseboval še en arhiv ZIP, ki je vseboval:

  • PDF dokument z vabo
  • Preimenovana legitimna izvedljiva datoteka
  • Zlonamerna DLL-ka, ki jo je naložila binarna datoteka

Ta DLL, imenovana ETDownloader, služi kot koristni tovor prve stopnje, namenjen prenosu glavnega vsadka - XDigo.

XDigo: Izpopolnjen kradljivec podatkov

XDigo je zlonamerna programska oprema, ki temelji na Go in je ocenjena kot razvojna različica programa UsrRunVGA.exe, ki je bil prej dokumentiran oktobra 2023. Opremljen je za:

  • Zbiranje lokalnih datotek.
  • Zajem vsebine odložišča.
  • Naredite posnetke zaslona.
  • Izvajanje ukazov ali binarnih datotek, pridobljenih z oddaljenega strežnika prek HTTP GET.
  • Izvlecite ukradene podatke z uporabo zahtev HTTP POST.

Ta funkcionalnost potrjuje vlogo XDiga kot vohunskega kradljivca, zasnovanega za prikrito zbiranje informacij.

Profil tarče in taktična doslednost

Preiskovalci so potrdili vsaj eno tarčo v regiji Minska, nadaljnji znaki pa kažejo na operacije proti ruskim trgovskim skupinam, finančnim institucijam, zavarovalnicam in vladnim poštnim storitvam. Ta viktimologija se tesno ujema z zgodovinskim fokusom XDSpy, zlasti na vzhodno Evropo in Belorusijo.

Tehnike izogibanja in taktična prefinjenost

XDSpy je pokazal močno sposobnost izogibanja sodobnim obrambnim ukrepom. Omeniti velja, da je bila njihova zlonamerna programska oprema prva, ki se je poskušala izogniti specifični rešitvi tipa »sandbox«, kar odraža visoko stopnjo prilagodljivosti in prilagodljivosti kot odziv na spreminjajoče se varnostne krajine.

Povzetek: Ključne ugotovitve

Kampanja XDigo predstavlja prefinjeno mešanico tehnik in strategij ciljanja. Vključevala je izkoriščanje ranljivosti sistema Windows, identificirane kot ZDI-CAN-25373, prek posebej izdelanih datotek LNK, skupaj z manipulacijo nedoslednosti pri razčlenjevanju LNK, da bi prikrili zlonamerno dejavnost. Napadalci so se zanašali tudi na stransko nalaganje DLL z uporabo preimenovanih legitimnih izvršljivih datotek za nalaganje lažnih komponent. Komunikacija z infrastrukturo za upravljanje in nadzor ter izkrcanje ukradenih podatkov sta potekala prek standardnih protokolov HTTP, kar je omogočalo prikritost in izogibanje.

Kar zadeva ciljanje, se je kampanja močno osredotočila na vladne subjekte, zlasti v Belorusiji in Rusiji. Svoj doseg je razširila tudi na finančni in maloprodajni sektor, pa tudi na velike zavarovalnice in nacionalne poštne storitve. Ta operacija poudarja nenehne inovacije državno usmerjenih akterjev groženj in krepi kritično potrebo po preučevanju celo na videz neškodljivih vrst datotek, kot so datoteke LNK, glede skritih groženj.

V trendu

Najbolj gledan

Nalaganje...