XDigo మాల్వేర్

సైబర్ భద్రతా పరిశోధకులు తూర్పు యూరోపియన్ ప్రభుత్వ సంస్థలకు వ్యతిరేకంగా మార్చి 2025లో మోహరించిన XDigo అనే గో-ఆధారిత దొంగతనంతో కూడిన కొత్త సైబర్ గూఢచర్య ప్రచారాన్ని కనుగొన్నారు. ఈ మాల్వేర్ కనీసం 2011 నుండి ఈ ప్రాంతంలో చురుకుగా ఉన్న నిరంతర ముప్పు నటుల సమూహం XDSpyతో ముడిపడి ఉంది.

XDSpy పునరాగమనం: నిఘా దశాబ్దం

XDSpy అనేది తూర్పు యూరప్ మరియు బాల్కన్లలోని ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకోవడంలో ప్రసిద్ధి చెందిన బాగా డాక్యుమెంట్ చేయబడిన సైబర్ గూఢచర్య సమూహం. 2020లో మొదటిసారిగా బహిరంగంగా విశ్లేషించబడిన XDSpy, సంవత్సరాలుగా దాని టూల్‌కిట్‌ను మరియు లక్ష్య పరిధిని అభివృద్ధి చేస్తూ స్థిరమైన కార్యాచరణ నమూనాను కొనసాగించింది.

ఈ గ్రూప్‌కు చెందిన ఇటీవలి ప్రచారాలు రష్యా మరియు మోల్డోవాలోని సంస్థలను దెబ్బతీశాయి, UTask, XDDown మరియు DSDownloader వంటి మాల్వేర్ కుటుంబాలను మోహరించాయి - అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేయడానికి మరియు సోకిన సిస్టమ్‌ల నుండి సున్నితమైన డేటాను సైఫన్ చేయడానికి రూపొందించబడిన సాధనాలు.

LNK దోపిడీలు: విండోస్ షార్ట్‌కట్‌ల వెనుక దాగి ఉన్న ప్రమాదం

XDigo ప్రచారం విండోస్ షార్ట్‌కట్ ఫైల్స్ (.LNK) తో ప్రారంభమయ్యే బహుళ-దశల దాడి గొలుసును ఉపయోగిస్తుంది, ఇది మార్చి 2025 లో బహిరంగంగా బహిర్గతం చేయబడిన ZDI-CAN-25373 గా ట్రాక్ చేయబడిన మైక్రోసాఫ్ట్ విండోస్‌లో రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది.

ప్రత్యేకంగా రూపొందించబడిన LNK ఫైల్‌లను సరిగ్గా నిర్వహించకపోవడం వల్ల ఈ దుర్బలత్వం తలెత్తుతుంది, దీనివల్ల హానికరమైన కంటెంట్ వినియోగదారు ఇంటర్‌ఫేస్‌లో కనిపించకుండా ఉండి, ప్రస్తుత వినియోగదారు సందర్భంలో కోడ్‌ను అమలు చేస్తుంది. తదుపరి తనిఖీలో తొమ్మిది LNK ఫైల్‌ల ఉపసమితి బయటపడింది, ఇది Microsoft MS-SHLLINK స్పెసిఫికేషన్ (v8.0) యొక్క పాక్షిక అమలు కారణంగా ఏర్పడిన పార్సింగ్ గందరగోళ లోపాన్ని ఉపయోగించుకుంది.

పార్సింగ్ గందరగోళం: స్పెసిఫికేషన్ vs. అమలు

MS-SHLLINK స్పెక్ 65,535 అక్షరాల వరకు స్ట్రింగ్ పొడవులను అనుమతిస్తుంది, కానీ Windows 11 వాస్తవ కంటెంట్‌ను 259 అక్షరాలకు పరిమితం చేస్తుంది, కమాండ్-లైన్ ఆర్గ్యుమెంట్‌లు మినహాయింపు. ఈ అసమతుల్యత ప్లాట్‌ఫారమ్‌లలో LNK ఫైల్‌లను ఎలా అన్వయించాలో అసమానతలను పరిచయం చేస్తుంది.

దాడి చేసేవారు పార్సర్‌ను బట్టి చెల్లుబాటు అయ్యే లేదా చెల్లని LNK ఫైల్‌లను రూపొందించడం ద్వారా ఈ అంతరాన్ని ఉపయోగించుకుంటారు, వీటిని ప్రారంభిస్తారు:

• ఊహించని లేదా దాచిన ఆదేశాల అమలు
• Windows UI మరియు మూడవ పక్ష విశ్లేషణ సాధనాలు రెండింటి ద్వారా గుర్తింపును తప్పించుకోవడం

దీన్ని వైట్‌స్పేస్ ప్యాడింగ్ టెక్నిక్‌లతో కలపడం ద్వారా, ప్రత్యర్థులు షార్ట్‌కట్ యొక్క నిజమైన ఉద్దేశ్యాన్ని సమర్థవంతంగా అస్పష్టం చేస్తారు, వినియోగదారులను లేదా భద్రతా సాధనాలను అప్రమత్తం చేయకుండా విజయవంతమైన అమలు అవకాశాలను పెంచుతారు.

ఇన్ఫెక్షన్ చైన్: ZIP ఆర్కైవ్‌లు, డెకాయిలు మరియు DLL సైడ్‌లోడింగ్

గుర్తించబడిన తొమ్మిది హానికరమైన LNK ఫైల్‌లు ZIP ఆర్కైవ్‌లలో పంపిణీ చేయబడ్డాయి, ప్రతి ఒక్కటి బండిల్ చేయబడిన మరొక ZIP ఆర్కైవ్‌ను కలిగి ఉంది:

• ఒక డెకాయ్ PDF డాక్యుమెంట్
• పేరు మార్చబడిన చట్టబద్ధమైన అమలు చేయదగిన ఫైల్
• బైనరీ ద్వారా సైడ్‌లోడ్ చేయబడిన హానికరమైన DLL

ETDownloader అని పిలువబడే ఈ DLL, ప్రధాన ఇంప్లాంట్ - XDigo ను డౌన్‌లోడ్ చేసుకోవడానికి రూపొందించబడిన మొదటి-దశ పేలోడ్‌గా పనిచేస్తుంది.

XDigo: ఒక శుద్ధి చేయబడిన డేటా దొంగ

XDigo అనేది UsrRunVGA.exe యొక్క పరిణామంగా అంచనా వేయబడిన గో-ఆధారిత మాల్వేర్ ఇంప్లాంట్, ఇది గతంలో అక్టోబర్ 2023లో డాక్యుమెంట్ చేయబడింది. ఇది వీటికి సన్నద్ధమైంది:

• స్థానిక ఫైళ్ళను సేకరించండి.
• క్లిప్‌బోర్డ్ కంటెంట్‌ను సంగ్రహించండి.
• స్క్రీన్‌షాట్‌లను తీసుకోండి.
• HTTP GET ద్వారా రిమోట్ సర్వర్ నుండి పొందిన ఆదేశాలు లేదా బైనరీలను అమలు చేయండి.
• HTTP POST అభ్యర్థనలను ఉపయోగించి దొంగిలించబడిన డేటాను తొలగించండి.

ఈ కార్యాచరణ XDigo పాత్రను గూఢచర్య-ఆధారిత దొంగగా నిర్ధారిస్తుంది, ఇది రహస్య సమాచార సేకరణ కోసం రూపొందించబడింది.

లక్ష్య ప్రొఫైల్ మరియు వ్యూహాత్మక స్థిరత్వం

పరిశోధకులు మిన్స్క్ ప్రాంతంలో కనీసం ఒక లక్ష్యాన్ని నిర్ధారించారు, రష్యన్ రిటైల్ గ్రూపులు, ఆర్థిక సంస్థలు, బీమా కంపెనీలు మరియు ప్రభుత్వ పోస్టల్ సేవలపై కార్యకలాపాలను సూచించే మరిన్ని సంకేతాలు ఉన్నాయి. ఈ బాధితుల శాస్త్రం XDSpy యొక్క చారిత్రక దృష్టికి, ముఖ్యంగా తూర్పు యూరప్ మరియు బెలారస్‌పై దగ్గరగా ఉంటుంది.

తప్పించుకునే పద్ధతులు మరియు వ్యూహాత్మక అధునాతనత

XDSpy ఆధునిక రక్షణలను తప్పించుకునే బలమైన సామర్థ్యాన్ని ప్రదర్శించింది. ముఖ్యంగా, వారి మాల్వేర్ ఒక నిర్దిష్ట శాండ్‌బాక్స్ సొల్యూషన్ నుండి తప్పించుకోవడానికి ప్రయత్నించిన మొదటిది, ఇది అభివృద్ధి చెందుతున్న భద్రతా ప్రకృతి దృశ్యాలకు ప్రతిస్పందనగా అధిక స్థాయి అనుకూలీకరణ మరియు అనుకూలతను ప్రతిబింబిస్తుంది.

సారాంశం: ముఖ్యమైన విషయాలు

XDigo ప్రచారం అధునాతనమైన టెక్నిక్‌లు మరియు లక్ష్య వ్యూహాలను ప్రదర్శిస్తుంది. ఇందులో ప్రత్యేకంగా రూపొందించిన LNK ఫైల్‌ల ద్వారా ZDI-CAN-25373గా గుర్తించబడిన విండోస్ దుర్బలత్వాన్ని దోపిడీ చేయడం, LNK పార్సింగ్ అసమానతలను తారుమారు చేయడం, హానికరమైన కార్యకలాపాలను అస్పష్టం చేయడం వంటివి ఉన్నాయి. మోసపూరిత భాగాలను లోడ్ చేయడానికి పేరు మార్చబడిన చట్టబద్ధమైన ఎక్జిక్యూటబుల్‌లను ఉపయోగించడం ద్వారా దాడి చేసేవారు DLL సైడ్‌లోడింగ్‌పై కూడా ఆధారపడ్డారు. కమాండ్-అండ్-కంట్రోల్ మౌలిక సదుపాయాలతో కమ్యూనికేషన్ మరియు దొంగిలించబడిన డేటాను తొలగించడం ప్రామాణిక HTTP ప్రోటోకాల్‌లపై నిర్వహించబడ్డాయి, ఇది స్టెల్త్ మరియు ఎగవేతను అనుమతిస్తుంది.

లక్ష్యాల పరంగా, ఈ ప్రచారం ముఖ్యంగా బెలారస్ మరియు రష్యాలోని ప్రభుత్వ సంస్థలపై ఎక్కువగా దృష్టి పెట్టింది. ఇది ఆర్థిక మరియు రిటైల్ రంగాలకు, అలాగే పెద్ద బీమా కంపెనీలు మరియు జాతీయ పోస్టల్ సేవలకు కూడా తన పరిధిని విస్తరించింది. ఈ ఆపరేషన్ రాష్ట్ర-సమలేఖన బెదిరింపు నటుల నిరంతర ఆవిష్కరణను నొక్కి చెబుతుంది మరియు దాచిన బెదిరింపుల కోసం LNK ఫైల్స్ వంటి హానిచేయని ఫైల్ రకాలను కూడా పరిశీలించాల్సిన కీలకమైన అవసరాన్ని బలోపేతం చేస్తుంది.