XDigo தீம்பொருள்

கிழக்கு ஐரோப்பிய அரசாங்க அமைப்புகளுக்கு எதிராக மார்ச் 2025 இல் பயன்படுத்தப்பட்ட XDigo என அழைக்கப்படும் Go-வை தளமாகக் கொண்ட திருடனை உள்ளடக்கிய ஒரு புதிய சைபர் உளவு பிரச்சாரத்தை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த தீம்பொருள் குறைந்தபட்சம் 2011 முதல் இப்பகுதியில் செயல்பட்டு வரும் தொடர்ச்சியான அச்சுறுத்தல் நடிகர் குழுவான XDSpy உடன் இணைக்கப்பட்டுள்ளது.

XDSpy இன் மீள்வருகை: ஒரு தசாப்த கண்காணிப்பு

XDSpy என்பது கிழக்கு ஐரோப்பா மற்றும் பால்கன் முழுவதும் உள்ள அரசு நிறுவனங்களை குறிவைப்பதில் நன்கு ஆவணப்படுத்தப்பட்ட சைபர் உளவு குழுவாகும். 2020 ஆம் ஆண்டில் முதன்முதலில் பகிரங்கமாக பகுப்பாய்வு செய்யப்பட்ட XDSpy, பல ஆண்டுகளாக அதன் கருவித்தொகுப்பையும் இலக்கு நோக்கத்தையும் உருவாக்கி, நிலையான செயல்பாட்டு முறையைப் பராமரித்து வருகிறது.

இந்தக் குழுவால் நடத்தப்பட்டதாகக் கூறப்படும் சமீபத்திய பிரச்சாரங்கள் ரஷ்யா மற்றும் மால்டோவாவில் உள்ள நிறுவனங்களைத் தாக்கியுள்ளன, UTask, XDDown மற்றும் DSDownloader போன்ற தீம்பொருள் குடும்பங்களைப் பயன்படுத்துகின்றன - கூடுதல் பேலோடுகளைப் பதிவிறக்கவும், பாதிக்கப்பட்ட அமைப்புகளிலிருந்து உணர்திறன் தரவைப் பயன்படுத்தவும் வடிவமைக்கப்பட்ட கருவிகள்.

LNK சுரண்டல்கள்: விண்டோஸ் ஷார்ட்கட்களுக்குப் பின்னால் உள்ள மறைக்கப்பட்ட ஆபத்து

XDigo பிரச்சாரம், விண்டோஸ் ஷார்ட்கட் கோப்புகளுடன் (.LNK) தொடங்கும் பல-நிலை தாக்குதல் சங்கிலியைப் பயன்படுத்துகிறது, இது மார்ச் 2025 இல் பகிரங்கமாக வெளியிடப்பட்ட ZDI-CAN-25373 என கண்காணிக்கப்பட்ட மைக்ரோசாப்ட் விண்டோஸில் ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்பைப் பயன்படுத்துகிறது.

இந்த பாதிப்பு, சிறப்பாக வடிவமைக்கப்பட்ட LNK கோப்புகளை முறையற்ற முறையில் கையாளுவதால் ஏற்படுகிறது, இதனால் தீங்கிழைக்கும் உள்ளடக்கம் பயனர் இடைமுகத்தில் கண்ணுக்குத் தெரியாமல் இருக்க அனுமதிக்கிறது, ஆனால் தற்போதைய பயனரின் சூழலில் குறியீட்டை இயக்குகிறது. மேலும் ஆய்வு செய்ததில், ஒன்பது LNK கோப்புகளின் துணைக்குழு வெளிப்பட்டது, இது மைக்ரோசாப்ட் MS-SHLLINK விவரக்குறிப்பை (v8.0) பகுதியளவு செயல்படுத்தியதால் ஏற்பட்ட பாகுபடுத்தும் குழப்பக் குறைபாட்டைப் பயன்படுத்துகிறது.

பாகுபடுத்தல் குழப்பம்: விவரக்குறிப்பு vs. செயல்படுத்தல்

MS-SHLLINK விவரக்குறிப்பு 65,535 எழுத்துகள் வரை சர நீளங்களை அனுமதிக்கிறது, ஆனால் Windows 11 உண்மையான உள்ளடக்கத்தை 259 எழுத்துகளுக்குக் கட்டுப்படுத்துகிறது, கட்டளை வரி வாதங்கள் விதிவிலக்காகும். இந்த பொருத்தமின்மை LNK கோப்புகள் தளங்களில் எவ்வாறு விளக்கப்படுகின்றன என்பதில் முரண்பாடுகளை அறிமுகப்படுத்துகிறது.

பாகுபடுத்தியைப் பொறுத்து செல்லுபடியாகும் அல்லது செல்லாததாகத் தோன்றும் LNK கோப்புகளை உருவாக்குவதன் மூலம் தாக்குபவர்கள் இந்த இடைவெளியைப் பயன்படுத்திக் கொள்கிறார்கள், இதனால்:

• எதிர்பாராத அல்லது மறைக்கப்பட்ட கட்டளைகளை செயல்படுத்துதல்
• விண்டோஸ் UI மற்றும் மூன்றாம் தரப்பு பகுப்பாய்வு கருவிகள் இரண்டாலும் கண்டறிதலைத் தவிர்ப்பது

இதை வெள்ளை இடைவெளி திணிப்பு நுட்பங்களுடன் இணைப்பதன் மூலம், எதிரிகள் குறுக்குவழியின் உண்மையான நோக்கத்தை திறம்பட மறைத்து, பயனர்களையோ அல்லது பாதுகாப்பு கருவிகளையோ எச்சரிக்காமல் வெற்றிகரமாக செயல்படுத்தப்படுவதற்கான வாய்ப்புகளை அதிகரிக்கின்றனர்.

தொற்று சங்கிலி: ZIP காப்பகங்கள், டிகாய்கள் மற்றும் DLL சைடுலோடிங்

அடையாளம் காணப்பட்ட ஒன்பது தீங்கிழைக்கும் LNK கோப்புகள் ZIP காப்பகங்களில் விநியோகிக்கப்பட்டன, ஒவ்வொன்றும் தொகுக்கப்பட்ட மற்றொரு ZIP காப்பகத்தைக் கொண்டிருந்தன:

• ஒரு ஏமாற்று PDF ஆவணம்
• மறுபெயரிடப்பட்ட ஒரு முறையான செயல்படுத்தக்கூடிய கோப்பு
• பைனரியால் பக்கவாட்டில் ஏற்றப்பட்ட ஒரு தீங்கிழைக்கும் DLL.

ETDownloader எனப் பெயரிடப்பட்ட இந்த DLL, பிரதான இம்பிளான்ட் - XDigo - ஐப் பதிவிறக்க வடிவமைக்கப்பட்ட முதல்-நிலை பேலோடாகச் செயல்படுகிறது.

XDigo: ஒரு சுத்திகரிக்கப்பட்ட தரவுத் திருடர்

XDigo என்பது UsrRunVGA.exe இன் பரிணாம வளர்ச்சியாக மதிப்பிடப்பட்ட Go-அடிப்படையிலான தீம்பொருள் உள்வைப்பு ஆகும், இது முன்னர் அக்டோபர் 2023 இல் ஆவணப்படுத்தப்பட்டது. இது பின்வருவனவற்றைச் செய்யக் கூடியது:

• உள்ளூர் கோப்புகளை அறுவடை செய்யுங்கள்.
• கிளிப்போர்டு உள்ளடக்கத்தைப் பிடிக்கவும்.
• ஸ்கிரீன் ஷாட்களை எடுக்கவும்.
• HTTP GET வழியாக தொலை சேவையகத்திலிருந்து பெறப்பட்ட கட்டளைகள் அல்லது பைனரிகளை இயக்கவும்.
• HTTP POST கோரிக்கைகளைப் பயன்படுத்தி திருடப்பட்ட தரவை வெளியேற்றவும்.

இந்தச் செயல்பாடு, திருட்டுத்தனமான தகவல்களைச் சேகரிப்பதற்காக வடிவமைக்கப்பட்ட உளவு நோக்குடைய திருடனாக XDigoவின் பங்கை உறுதிப்படுத்துகிறது.

இலக்கு சுயவிவரம் மற்றும் தந்திரோபாய நிலைத்தன்மை

மின்ஸ்க் பிராந்தியத்தில் குறைந்தபட்சம் ஒரு இலக்கையாவது புலனாய்வாளர்கள் உறுதிப்படுத்தியுள்ளனர், மேலும் ரஷ்ய சில்லறை விற்பனைக் குழுக்கள், நிதி நிறுவனங்கள், காப்பீட்டு நிறுவனங்கள் மற்றும் அரசாங்க அஞ்சல் சேவைகளுக்கு எதிரான நடவடிக்கைகளை சுட்டிக்காட்டும் அறிகுறிகளுடன். இந்த பாதிக்கப்பட்டவர் பற்றிய ஆய்வு, குறிப்பாக கிழக்கு ஐரோப்பா மற்றும் பெலாரஸில் XDSpy இன் வரலாற்று கவனம் செலுத்துவதோடு நெருக்கமாக ஒத்துப்போகிறது.

தப்பிக்கும் நுட்பங்கள் மற்றும் தந்திரோபாய நுட்பம்

XDSpy நவீன பாதுகாப்புகளைத் தவிர்ப்பதற்கான வலுவான திறனை நிரூபித்துள்ளது. குறிப்பாக, அவர்களின் தீம்பொருள் ஒரு குறிப்பிட்ட சாண்ட்பாக்ஸ் தீர்வைத் தவிர்ப்பதற்கு முதலில் முயற்சித்தது, இது வளர்ந்து வரும் பாதுகாப்பு நிலப்பரப்புகளுக்கு ஏற்ப அதிக அளவு தனிப்பயனாக்கம் மற்றும் தகவமைப்புத் தன்மையை பிரதிபலிக்கிறது.

சுருக்கம்: முக்கிய குறிப்புகள்

XDigo பிரச்சாரம் நுட்பங்கள் மற்றும் இலக்கு உத்திகளின் அதிநவீன கலவையைக் காட்டுகிறது. இது சிறப்பாக வடிவமைக்கப்பட்ட LNK கோப்புகள் மூலம் ZDI-CAN-25373 என அடையாளம் காணப்பட்ட விண்டோஸ் பாதிப்பைப் பயன்படுத்துவதை உள்ளடக்கியது, மேலும் தீங்கிழைக்கும் செயல்பாட்டை மறைக்க LNK பாகுபடுத்தும் முரண்பாடுகளைக் கையாளுவதையும் உள்ளடக்கியது. முரட்டு கூறுகளை ஏற்றுவதற்கு மறுபெயரிடப்பட்ட முறையான இயங்கக்கூடியவற்றைப் பயன்படுத்துவதன் மூலம் தாக்குபவர்கள் DLL பக்க ஏற்றுதலையும் நம்பியிருந்தனர். கட்டளை மற்றும் கட்டுப்பாட்டு உள்கட்டமைப்புடன் தொடர்பு மற்றும் திருடப்பட்ட தரவை வெளியேற்றுவது நிலையான HTTP நெறிமுறைகள் மூலம் நடத்தப்பட்டன, இது திருட்டுத்தனம் மற்றும் ஏய்ப்பை செயல்படுத்துகிறது.

இலக்கு வைப்பதைப் பொறுத்தவரை, பிரச்சாரம் அரசாங்க நிறுவனங்களில், குறிப்பாக பெலாரஸ் மற்றும் ரஷ்யாவில் அதிக கவனம் செலுத்தியது. இது நிதி மற்றும் சில்லறை விற்பனைத் துறைகள், பெரிய காப்பீட்டு நிறுவனங்கள் மற்றும் தேசிய அஞ்சல் சேவைகளிலும் அதன் வரம்பை விரிவுபடுத்தியது. இந்த நடவடிக்கை அரசுடன் இணைந்த அச்சுறுத்தல் நடிகர்களின் தொடர்ச்சியான கண்டுபிடிப்புகளை அடிக்கோடிட்டுக் காட்டுகிறது மற்றும் மறைக்கப்பட்ட அச்சுறுத்தல்களுக்கு LNK கோப்புகள் போன்ற பாதிப்பில்லாத கோப்பு வகைகளைக் கூட ஆராய வேண்டிய முக்கியமான தேவையை வலுப்படுத்துகிறது.