มัลแวร์ XDigo
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญจารกรรมทางไซเบอร์รูปแบบใหม่ที่เกี่ยวข้องกับโปรแกรมขโมยข้อมูลบน Go ที่มีชื่อว่า XDigo ซึ่งถูกนำไปใช้งานในเดือนมีนาคม 2025 เพื่อโจมตีองค์กรของรัฐบาลในยุโรปตะวันออก มัลแวร์ดังกล่าวมีความเชื่อมโยงกับกลุ่ม XDSpy ซึ่งเป็นกลุ่มที่ก่ออาชญากรรมอย่างต่อเนื่องและเคลื่อนไหวอยู่ในภูมิภาคนี้มาตั้งแต่ปี 2011 เป็นอย่างน้อย
สารบัญ
การกลับมาของ XDSpy: ทศวรรษแห่งการเฝ้าติดตาม
XDSpy เป็นกลุ่มจารกรรมทางไซเบอร์ที่มีการบันทึกข้อมูลไว้เป็นอย่างดี ซึ่งเป็นที่รู้จักจากการโจมตีหน่วยงานของรัฐในยุโรปตะวันออกและบอลข่าน XDSpy ได้รับการวิเคราะห์ต่อสาธารณะเป็นครั้งแรกในปี 2020 และยังคงรักษารูปแบบกิจกรรมที่สม่ำเสมอ โดยพัฒนาชุดเครื่องมือและขอบเขตการโจมตีตลอดหลายปีที่ผ่านมา
แคมเปญล่าสุดที่เกี่ยวข้องกับกลุ่มดังกล่าวได้โจมตีองค์กรต่างๆ ในรัสเซียและมอลโดวา โดยใช้งานมัลแวร์ในกลุ่มต่างๆ เช่น UTask, XDDown และ DSDownloader ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อดาวน์โหลดเพย์โหลดเพิ่มเติมและดูดข้อมูลที่ละเอียดอ่อนจากระบบที่ติดไวรัส
ช่องโหว่ LNK: อันตรายที่ซ่อนอยู่เบื้องหลังทางลัดของ Windows
แคมเปญ XDigo ใช้การโจมตีแบบหลายขั้นตอนซึ่งเริ่มต้นด้วยไฟล์ทางลัด Windows (.LNK) โดยใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Microsoft Windows ซึ่งติดตามเป็น ZDI-CAN-25373 ซึ่งเปิดเผยต่อสาธารณะในเดือนมีนาคม 2025
ช่องโหว่นี้เกิดจากการจัดการไฟล์ LNK ที่สร้างขึ้นเป็นพิเศษอย่างไม่เหมาะสม ทำให้เนื้อหาที่เป็นอันตรายยังคงมองไม่เห็นในอินเทอร์เฟซผู้ใช้แต่ยังคงรันโค้ดในบริบทของผู้ใช้ปัจจุบัน การตรวจสอบเพิ่มเติมพบไฟล์ LNK ย่อยจำนวน 9 ไฟล์ ซึ่งใช้ประโยชน์จากจุดบกพร่องในการแยกวิเคราะห์ที่เกิดจากการที่ Microsoft นำข้อกำหนด MS-SHLLINK (v8.0) ไปใช้บางส่วน
ความสับสนในการวิเคราะห์: ข้อกำหนดเทียบกับการใช้งาน
ข้อกำหนด MS-SHLLINK อนุญาตให้ใช้ความยาวของสตริงได้สูงสุด 65,535 อักขระ แต่ Windows 11 จำกัดเนื้อหาจริงไว้ที่ 259 อักขระ โดยมีข้อยกเว้นคืออาร์กิวเมนต์บรรทัดคำสั่ง ความไม่ตรงกันนี้ทำให้เกิดความไม่สอดคล้องกันในวิธีการตีความไฟล์ LNK บนแพลตฟอร์มต่างๆ
ผู้โจมตีใช้ประโยชน์จากช่องว่างนี้โดยการสร้างไฟล์ LNK ที่ดูเหมือนถูกต้องหรือไม่ถูกต้องขึ้นอยู่กับตัวแยกวิเคราะห์ ทำให้สามารถ:
- การดำเนินการคำสั่งที่ไม่คาดคิดหรือซ่อนอยู่
- หลีกเลี่ยงการตรวจจับโดยทั้ง UI ของ Windows และเครื่องมือวิเคราะห์ของบุคคลที่สาม
ด้วยการผสมผสานสิ่งนี้กับเทคนิคการเติมช่องว่าง ผู้โจมตีสามารถบดบังเจตนาที่แท้จริงของทางลัดได้อย่างมีประสิทธิภาพ ส่งผลให้เพิ่มโอกาสในการดำเนินการสำเร็จโดยไม่ต้องแจ้งเตือนผู้ใช้หรือเครื่องมือรักษาความปลอดภัย
ห่วงโซ่การติดเชื้อ: ไฟล์ ZIP, ตัวล่อ และการโหลด DLL แบบไซด์โหลด
ไฟล์ LNK ที่เป็นอันตรายทั้ง 9 ไฟล์ที่ระบุได้ถูกเผยแพร่ในไฟล์ ZIP โดยแต่ละไฟล์มีไฟล์ ZIP อีกไฟล์หนึ่งที่รวมอยู่ด้วย:
- เอกสาร PDF ล่อลวง
- ไฟล์ปฏิบัติการที่ถูกกฎหมายถูกเปลี่ยนชื่อ
- DLL ที่เป็นอันตรายที่โหลดจากไบนารี
DLL นี้ชื่อ ETDownloader ทำหน้าที่เป็นเพย์โหลดขั้นแรกที่ออกแบบมาเพื่อดาวน์โหลดอิมแพลนต์หลัก - XDigo
XDigo: เครื่องมือขโมยข้อมูลอันชาญฉลาด
XDigo คือมัลแวร์ฝังตัวที่ใช้ Go ซึ่งประเมินว่าเป็นวิวัฒนาการของ UsrRunVGA.exe ซึ่งได้รับการบันทึกไว้ก่อนหน้านี้ในเดือนตุลาคม 2023 โดย XDigo สามารถติดตั้งได้ดังนี้:
- เก็บเกี่ยวไฟล์ท้องถิ่น
- จับเนื้อหาในคลิปบอร์ด
- จับภาพหน้าจอ
- ดำเนินการคำสั่งหรือไฟล์ไบนารีที่ดึงมาจากเซิร์ฟเวอร์ระยะไกลผ่านทาง HTTP GET
- ดึงข้อมูลที่ถูกขโมยมาโดยใช้คำขอ HTTP POST
ฟังก์ชันนี้ยืนยันบทบาทของ XDigo ในฐานะผู้ขโมยที่เน้นการจารกรรมซึ่งออกแบบมาเพื่อรวบรวมข้อมูลอย่างแอบซ่อน
โปรไฟล์เป้าหมายและความสม่ำเสมอทางยุทธวิธี
เจ้าหน้าที่สืบสวนได้ยืนยันเป้าหมายอย่างน้อยหนึ่งรายในภูมิภาคมินสค์ โดยมีสัญญาณเพิ่มเติมที่ชี้ไปที่ปฏิบัติการต่อต้านกลุ่มค้าปลีกของรัสเซีย สถาบันการเงิน บริษัทประกันภัย และบริการไปรษณีย์ของรัฐบาล แนวทางการตกเป็นเหยื่อนี้สอดคล้องกับแนวทางเดิมของ XDSpy โดยเฉพาะอย่างยิ่งในยุโรปตะวันออกและเบลารุส
เทคนิคการหลบเลี่ยงและความซับซ้อนทางยุทธวิธี
XDSpy ได้แสดงให้เห็นถึงความสามารถที่แข็งแกร่งในการหลบเลี่ยงการป้องกันสมัยใหม่ โดยเฉพาะอย่างยิ่ง มัลแวร์ของพวกเขาเป็นตัวแรกที่พยายามหลบเลี่ยงโซลูชันแซนด์บ็อกซ์เฉพาะ ซึ่งสะท้อนถึงความสามารถในการปรับแต่งและปรับตัวในระดับสูงเพื่อตอบสนองต่อภูมิทัศน์ด้านความปลอดภัยที่เปลี่ยนแปลงไป
สรุป: สิ่งสำคัญที่ต้องเรียนรู้
แคมเปญ XDigo แสดงให้เห็นถึงการผสมผสานเทคนิคและกลยุทธ์การกำหนดเป้าหมายที่ซับซ้อน โดยเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ของ Windows ที่ระบุว่าเป็น ZDI-CAN-25373 ผ่านไฟล์ LNK ที่สร้างขึ้นเป็นพิเศษ ควบคู่ไปกับการจัดการความไม่สอดคล้องกันของการแยกวิเคราะห์ LNK เพื่อปกปิดกิจกรรมที่เป็นอันตราย ผู้โจมตียังอาศัยการโหลด DLL จากแหล่งภายนอกโดยใช้ไฟล์ปฏิบัติการที่ถูกต้องและเปลี่ยนชื่อเพื่อโหลดส่วนประกอบที่เป็นอันตราย การสื่อสารกับโครงสร้างพื้นฐานการสั่งการและควบคุมและการขโมยข้อมูลที่ขโมยมาจะดำเนินการผ่านโปรโตคอล HTTP มาตรฐาน ซึ่งช่วยให้สามารถซ่อนตัวและหลบเลี่ยงได้
ในแง่ของการกำหนดเป้าหมาย แคมเปญนี้เน้นไปที่หน่วยงานของรัฐโดยเฉพาะในเบลารุสและรัสเซีย นอกจากนี้ยังขยายขอบเขตไปยังภาคการเงินและการค้าปลีก รวมถึงบริษัทประกันภัยขนาดใหญ่และบริการไปรษณีย์แห่งชาติ การดำเนินการนี้เน้นย้ำถึงนวัตกรรมที่ไม่หยุดนิ่งของผู้ก่อภัยคุกคามที่สอดคล้องกับรัฐ และย้ำถึงความจำเป็นที่สำคัญในการตรวจสอบแม้แต่ไฟล์ประเภทที่ดูเหมือนไม่เป็นอันตราย เช่น ไฟล์ LNK เพื่อหาภัยคุกคามที่ซ่อนอยู่
