Rabattoffert för flera licenser
Hotdatabas Skadlig programvara XDigo-skadlig programvara

XDigo-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Cybersäkerhetsforskare har avslöjat en ny cyberspionagekampanj som involverar en Go-baserad stöldkod kallad XDigo, som sattes in i mars 2025 mot östeuropeiska statliga organisationer. Skadlig programvara är kopplad till den ihållande hotbildsgruppen XDSpy, som varit aktiv i regionen sedan åtminstone 2011.

XDSpys återkomst: Ett decennium av övervakning

XDSpy är en väldokumenterad cyberspionagegrupp känd för att rikta in sig på myndigheter i Östeuropa och Balkan. XDSpy, som först analyserades offentligt 2020, har upprätthållit ett stadigt aktivitetsmönster och utvecklat sin verktygslåda och inriktningsomfattning under åren.

Nyligen genomförda kampanjer som tillskrivits gruppen har drabbat organisationer i Ryssland och Moldavien och distribuerat skadlig kodfamiljer som UTask, XDDown och DSDownler – verktyg utformade för att ladda ner ytterligare nyttolaster och suga ut känslig data från infekterade system.

LNK-utnyttjande: Den dolda faran bakom Windows-genvägar

XDigo-kampanjen använder en attackkedja i flera steg som börjar med Windows-genvägsfiler (.LNK), och utnyttjar en sårbarhet för fjärrkodkörning i Microsoft Windows, spårad som ZDI-CAN-25373, offentliggjord i mars 2025.

Denna sårbarhet uppstår på grund av felaktig hantering av specialskapade LNK-filer, vilket gör att skadligt innehåll kan förbli osynligt i användargränssnittet men ändå exekvera kod i den aktuella användarens kontext. Vidare granskning avslöjade en delmängd av nio sådana LNK-filer, som utnyttjade en parsningsförvirringsfel orsakad av Microsofts partiella implementering av MS-SHLLINK-specifikationen (v8.0).

Parsningsförvirring: Specifikation kontra implementering

MS-SHLLINK-specifikationen tillåter stränglängder på upp till 65 535 tecken, men Windows 11 begränsar det faktiska innehållet till 259 tecken, med undantag för kommandoradsargument. Denna skillnad introducerar inkonsekvenser i hur LNK-filer tolkas över olika plattformar.

Angripare utnyttjar denna lucka genom att skapa LNK-filer som verkar giltiga eller ogiltiga beroende på parsern, vilket möjliggör:

  • Utförande av oväntade eller dolda kommandon
  • Undvika detektering av både Windows UI och analysverktyg från tredje part

Genom att kombinera detta med utfyllnadstekniker för blanktecken döljer motståndare effektivt genvägens verkliga avsikt, vilket ökar chanserna för lyckad körning utan att varna användare eller säkerhetsverktyg.

Infektionskedja: ZIP-arkiv, lockbete och DLL-sidladdning

De identifierade nio skadliga LNK-filerna distribuerades i ZIP-arkiv, som var och en innehöll ytterligare ett ZIP-arkiv som paketerade:

  • Ett PDF-dokument med lockbete
  • En legitim körbar enhet har bytt namn
  • En skadlig DLL som sidladdats av binärfilen

Denna DLL, kallad ETDownloader, fungerar som en nyttolast i första steget som är utformad för att ladda ner huvudimplantatet - XDigo.

XDigo: En förfinad datastjälare

XDigo är ett Go-baserat implantat av skadlig kod som bedöms vara en utveckling av UsrRunVGA.exe, som tidigare dokumenterades i oktober 2023. Det är utrustat för att:

  • Samla in lokala filer.
  • Spara innehållet i urklippet.
  • Ta skärmdumpar.
  • Kör kommandon eller binärfiler som hämtats från en fjärrserver via HTTP GET.
  • Exfiltrera stulen data med hjälp av HTTP POST-förfrågningar.

Denna funktion bekräftar XDigos roll som en spionageinriktad stöldverktyg utformat för smygande informationsinsamling.

Målprofil och taktisk konsekvens

Utredare har bekräftat minst ett mål i Minskregionen, med ytterligare tecken som pekar på operationer mot ryska detaljhandelsgrupper, finansinstitut, försäkringsbolag och statliga posttjänster. Denna viktimologi stämmer väl överens med XDSpys historiska fokus, särskilt på Östeuropa och Vitryssland.

Undvikningstekniker och taktisk sofistikering

XDSpy har visat en stark förmåga att kringgå moderna försvar. Det är värt att notera att deras skadliga programvara var den första som försökte kringgå en specifik sandlådelösning, vilket återspeglar en hög grad av anpassningsförmåga och anpassningsförmåga som svar på föränderliga säkerhetslandskap.

Sammanfattning: Viktiga slutsatser

XDigo-kampanjen visar upp en sofistikerad blandning av tekniker och målinriktningsstrategier. Den involverade utnyttjandet av en Windows-sårbarhet identifierad som ZDI-CAN-25373 genom specialskapade LNK-filer, tillsammans med manipulering av LNK-parsningsinkonsekvenser för att dölja skadlig aktivitet. Angripare förlitade sig också på DLL-sidladdning genom att använda omdöpta legitima körbara filer för att ladda oönskade komponenter. Kommunikation med kommando- och kontrollinfrastruktur och exfiltrering av stulen data genomfördes via standard HTTP-protokoll, vilket möjliggjorde smygande och kringgående angrepp.

När det gäller målgruppsinriktning fokuserade kampanjen starkt på statliga enheter, särskilt i Vitryssland och Ryssland. Den utökade också sin räckvidd till finans- och detaljhandelssektorerna, såväl som stora försäkringsbolag och nationella posttjänster. Denna operation understryker den ihållande innovationen hos statligt allierade hotaktörer och förstärker det kritiska behovet av att granska även till synes ofarliga filtyper, såsom LNK-filer, för dolda hot.

Trendigt

Mest sedda

Läser in...