Попуст за више лиценци
Тхреат Датабасе Малваре XDigo злонамерни софтвер

XDigo злонамерни софтвер

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Истраживачи сајбер безбедности открили су нову кампању сајбер шпијунаже која укључује крађу шифре засновану на Go-у под називом XDigo, која је примењена у марту 2025. године против владиних организација источне Европе. Злонамерни софтвер је повезан са групом сталних претњи XDSpy, активном у региону најмање од 2011. године.

Повратак XDSpy-а: Деценија надзора

XDSpy је добро документована група за сајбер шпијунажу позната по циљању владиних агенција широм Источне Европе и Балкана. Први пут јавно анализирана 2020. године, XDSpy је одржавала сталан образац активности, развијајући свој алат и обим циљања током година.

Недавне кампање које се приписују групи погодиле су организације у Русији и Молдавији, користећи породице злонамерних програма попут UTask, XDDown и DSDown – алате дизајниране за преузимање додатних корисних садржаја и крађу осетљивих података са заражених система.

LNK експлоатације: Скривена опасност иза Windows пречица

XDigo кампања користи вишестепени ланац напада који почиње са Windows датотекама пречица (.LNK), искоришћавајући рањивост за даљинско извршавање кода у Microsoft Windows-у праћену као ZDI-CAN-25373, јавно откривену у марту 2025. године.

Ова рањивост настаје због неправилног руковања специјално креираним LNK датотекама, што омогућава да злонамерни садржај остане невидљив у корисничком интерфејсу, али да и даље извршава код у контексту тренутног корисника. Даљим испитивањем откривено је подскуп од девет таквих LNK датотека, које искоришћавају грешку у конфузи у парсирању изазвану делимичном имплементацијом спецификације MS-SHLLINK (v8.0) од стране Мајкрософта.

Забуна око рашчлањивања: Спецификација наспрам имплементације

Спецификација MS-SHLLINK дозвољава дужину низова до 65.535 знакова, али Windows 11 ограничава стварни садржај на 259 знакова, са изузетком аргумената командне линије. Ово неслагање уводи недоследности у начину на који се LNK датотеке тумаче на различитим платформама.

Нападачи искоришћавају ову празнину креирајући LNK датотеке које изгледају валидно или неважеће у зависности од парсера, омогућавајући:

  • Извршавање неочекиваних или скривених команди
  • Избегавање детекције од стране Windows корисничког интерфејса и алата за анализу трећих страна

Комбиновањем овога са техникама попуњавања празним простором, противници ефикасно прикривају праву намеру пречице, повећавајући шансе за успешно извршење без упозоравања корисника или безбедносних алата.

Ланац инфекције: ZIP архиве, мамци и бочно учитавање DLL датотека

Идентификованих девет злонамерних LNK датотека дистрибуирано је у ZIP архивама, од којих је свака садржала другу ZIP архиву која је укључивала:

  • PDF документ за мамце
  • Легитимна извршна датотека преименована
  • Злонамерни DLL који је бинарна датотека учитала са стране

Ова DLL библиотека, названа ETDownloader, служи као корисни терет прве фазе дизајниран за преузимање главног имплантата - XDigo.

XDigo: Префињени крађа података

XDigo је имплант злонамерног софтвера заснованог на Go-у, за који се процењује да је еволуција UsrRunVGA.exe, претходно документованог у октобру 2023. године. Опремљен је за:

  • Прикупите локалне датотеке.
  • Снимите садржај међуспремника.
  • Направите снимке екрана.
  • Извршава команде или бинарне датотеке преузете са удаљеног сервера путем HTTP GET-а.
  • Извуците украдене податке користећи HTTP POST захтеве.

Ова функционалност потврђује улогу XDigo-а као крадљивца оријентисаног на шпијунажу, дизајнираног за прикривено прикупљање информација.

Профил циља и тактичка доследност

Истражитељи су потврдили најмање једну мету у региону Минска, а даљи знаци указују на операције против руских малопродајних група, финансијских институција, осигуравајућих компанија и владиних поштанских служби. Ова виктимологија се уско поклапа са историјским фокусом XDSpy-ја, посебно на Источну Европу и Белорусију.

Технике избегавања и тактичка софистицираност

XDSpy је показао снажну способност заобилажења модерних одбрамбених система. Приметно је да је њихов малвер био први који је покушао да избегне специфично решење за заштиту од вируса, што одражава висок степен прилагодљивости и флексибилности као одговор на променљиве безбедносне услове.

Резиме: Кључне закључке

XDigo кампања приказује софистицирану мешавину техника и стратегија циљања. Укључивала је експлоатацију Windows рањивости идентификоване као ZDI-CAN-25373 путем специјално креираних LNK датотека, уз манипулацију недоследностима у парсирању LNK датотека како би се прикриле злонамерне активности. Нападачи су се такође ослањали на бочно учитавање DLL датотека користећи преименоване легитимне извршне датотеке за учитавање лажних компоненти. Комуникација са инфраструктуром командовања и контроле и извлачење украдених података одвијали су се преко стандардних HTTP протокола, омогућавајући прикривеност и избегавање.

Што се тиче циљања, кампања се у великој мери фокусирала на владине субјекте, посебно у Белорусији и Русији. Такође је проширила свој досег на финансијски и малопродајни сектор, као и на велике осигуравајуће компаније и националне поштанске службе. Ова операција истиче сталну иновацију актера претњи повезаних са државом и појачава критичну потребу за испитивањем чак и наизглед безопасних типова датотека, као што су LNK датотеке, у потрази за скривеним претњама.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
35,126
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...