Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware XDigo Malware

XDigo Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të re spiunazhi kibernetik që përfshin një program vjedhës me bazë në Go të quajtur XDigo, i cili u vendos në mars të vitit 2025 kundër organizatave qeveritare të Evropës Lindore. Malware është i lidhur me grupin e aktorëve të kërcënimeve të vazhdueshme XDSpy, aktiv në rajon që nga të paktën viti 2011.

Kthimi i XDSpy: Një Dekadë Mbikëqyrjeje

XDSpy është një grup spiunazhi kibernetik i dokumentuar mirë, i njohur për shënjestrimin e agjencive qeveritare në të gjithë Evropën Lindore dhe Ballkanin. I analizuar publikisht për herë të parë në vitin 2020, XDSpy ka ruajtur një model të qëndrueshëm aktiviteti, duke evoluar mjetet dhe fushëveprimin e shënjestrimit gjatë viteve.

Fushatat e fundit që i atribuohen grupit kanë goditur organizatat në Rusi dhe Moldavi, duke vendosur familje programesh keqdashëse si UTask, XDDown dhe DSDownloader—mjete të dizajnuara për të shkarkuar ngarkesa shtesë dhe për të thithur të dhëna të ndjeshme nga sistemet e infektuara.

Shfrytëzimet e LNK: Rreziku i fshehur pas shkurtoreve të Windows

Fushata XDigo përdor një zinxhir sulmesh me shumë faza që fillon me skedarët e shkurtesave të Windows (.LNK), duke shfrytëzuar një dobësi të ekzekutimit të kodit në distancë në Microsoft Windows të gjurmuar si ZDI-CAN-25373, e zbuluar publikisht në mars 2025.

Kjo dobësi lind nga trajtimi jo i duhur i skedarëve LNK të krijuar posaçërisht, duke lejuar që përmbajtja keqdashëse të mbetet e padukshme në ndërfaqen e përdoruesit, por prapëseprapë të ekzekutojë kodin në kontekstin e përdoruesit aktual. Inspektimi i mëtejshëm zbuloi një nëngrup prej nëntë skedarësh të tillë LNK, duke shfrytëzuar një të metë konfuzioni në analizimin e të dhënave të shkaktuar nga zbatimi i pjesshëm i specifikimit MS-SHLLINK (v8.0) nga Microsoft.

Konfuzioni i analizimit: Specifikimi kundrejt implementimit

Specifikimi MS-SHLLINK lejon gjatësi vargjesh deri në 65,535 karaktere, por Windows 11 e kufizon përmbajtjen aktuale në 259 karaktere, me përjashtim të argumenteve të rreshtit të komandës. Kjo mospërputhje sjell mospërputhje në mënyrën se si interpretohen skedarët LNK në të gjitha platformat.

Sulmuesit e shfrytëzojnë këtë boshllëk duke krijuar skedarë LNK që duken të vlefshëm ose të pavlefshëm në varësi të analizuesit, duke mundësuar:

  • Ekzekutimi i komandave të papritura ose të fshehura
  • Shmangia e zbulimit nga ndërfaqja e përdoruesit e Windows dhe mjetet e analizës së palëve të treta

Duke e kombinuar këtë me teknikat e mbushjes së hapësirave të bardha, kundërshtarët në mënyrë efektive errësojnë qëllimin e vërtetë të shkurtores, duke rritur shanset e ekzekutimit të suksesshëm pa njoftuar përdoruesit ose mjetet e sigurisë.

Zinxhiri i Infeksionit: Arkivat ZIP, Karremat dhe Ngarkimi i DLL-ve nga njëra anë

Nëntë skedarët LNK me qëllim të keq të identifikuar u shpërndanë në arkivat ZIP, secili prej të cilëve përmbante një arkiv tjetër ZIP që përfshinte:

  • Një dokument PDF mashtrues
  • Një ekzekutues legjitim u riemërua
  • Një DLL keqdashëse e ngarkuar anash nga binarja

Ky DLL, i quajtur ETDownloader, shërben si një ngarkesë e fazës së parë e projektuar për të shkarkuar implantin kryesor - XDigo.

XDigo: Një vjedhës i rafinuar i të dhënave

XDigo është një implant malware i bazuar në Go i vlerësuar të jetë një evolucion i UsrRunVGA.exe, i dokumentuar më parë në tetor 2023. Është i pajisur për të:

  • Mbledh skedarët lokalë.
  • Kap përmbajtjen e kujtesës së përkohshme.
  • Bëni pamje të ekranit.
  • Ekzekutoni komandat ose skedarët binare të marrë nga një server i largët nëpërmjet HTTP GET.
  • Ekfiltro të dhënat e vjedhura duke përdorur kërkesat HTTP POST.

Ky funksionalitet konfirmon rolin e XDigo-s si një hajdut i orientuar drejt spiunazhit i projektuar për mbledhjen e fshehtë të informacionit.

Profili i Synimit dhe Konsistenca Taktike

Hetuesit kanë konfirmuar të paktën një objektiv në rajonin e Minskut, me shenja të mëtejshme që tregojnë operacione kundër grupeve ruse të shitjes me pakicë, institucioneve financiare, kompanive të sigurimeve dhe shërbimeve postare qeveritare. Kjo viktimologji përputhet ngushtë me fokusin historik të XDSpy, veçanërisht në Evropën Lindore dhe Bjellorusi.

Teknikat e Shmangies dhe Sofistikimi Taktik

XDSpy ka demonstruar një aftësi të fortë për të shmangur mbrojtjet moderne. Veçanërisht, programi i tyre keqdashës ishte i pari që u përpoq të shmangte një zgjidhje specifike sandbox, duke reflektuar një shkallë të lartë personalizimi dhe përshtatshmërie në përgjigje të peizazheve në zhvillim të sigurisë.

Përmbledhje: Përmbledhje kryesore

Fushata XDigo shfaq një përzierje të sofistikuar teknikash dhe strategjish synimi. Ajo përfshinte shfrytëzimin e një dobësie të Windows të identifikuar si ZDI-CAN-25373 përmes skedarëve LNK të krijuar posaçërisht, së bashku me manipulimin e mospërputhjeve të analizimit të LNK për të fshehur aktivitetin keqdashës. Sulmuesit gjithashtu mbështeteshin në ngarkimin anësor të DLL duke përdorur ekzekutues legjitimë të riemëruar për të ngarkuar komponentë mashtrues. Komunikimi me infrastrukturën e komandës dhe kontrollit dhe nxjerrja e të dhënave të vjedhura u kryen përmes protokolleve standarde HTTP, duke mundësuar fshehtësinë dhe shmangien.

Për sa i përket shënjestrimit, fushata u përqendrua kryesisht në entitetet qeveritare, veçanërisht në Bjellorusi dhe Rusi. Ajo gjithashtu e zgjeroi shtrirjen e saj në sektorët financiarë dhe të shitjes me pakicë, si dhe në kompanitë e mëdha të sigurimeve dhe shërbimet postare kombëtare. Ky operacion nënvizon inovacionin e vazhdueshëm të aktorëve të kërcënimeve të lidhura me shtetin dhe përforcon nevojën kritike për të shqyrtuar edhe llojet e skedarëve në dukje të padëmshëm, siç janë skedarët LNK, për kërcënime të fshehura.

Në trend

Më e shikuara

Po ngarkohet...