XDigo Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong cyber espionage campaign na kinasasangkutan ng isang Go-based na magnanakaw na tinatawag na XDigo, na na-deploy noong Marso 2025 laban sa mga organisasyon ng pamahalaan sa Eastern Europe. Ang malware ay naka-link sa paulit-ulit na banta ng aktor na grupong XDSpy, na aktibo sa rehiyon mula pa noong 2011.

Ang Pagbabalik ng XDSpy: Isang Dekada ng Pagsubaybay

Ang XDSpy ay isang well-documented cyber espionage group na kilala sa pag-target sa mga ahensya ng gobyerno sa buong Silangang Europa at Balkans. Unang nasuri sa publiko noong 2020, napanatili ng XDSpy ang isang matatag na pattern ng aktibidad, na nagbabago sa toolkit nito at saklaw ng pag-target sa mga nakaraang taon.

Ang mga kamakailang campaign na na-attribute sa grupo ay tumama sa mga organisasyon sa Russia at Moldova, na nagde-deploy ng mga pamilya ng malware tulad ng UTask, XDDown, at DSDownloader—mga tool na idinisenyo upang mag-download ng mga karagdagang payload at siphon ang sensitibong data mula sa mga nahawaang system.

LNK Exploits: Ang Nakatagong Panganib sa Likod ng Mga Shortcut sa Windows

Gumagamit ang XDigo campaign ng multi-stage attack chain na nagsisimula sa Windows shortcut file (.LNK), na nagsasamantala sa isang remote code execution vulnerability sa Microsoft Windows na sinusubaybayan bilang ZDI-CAN-25373, na ibinunyag sa publiko noong Marso 2025.

Ang kahinaan na ito ay nagmumula sa hindi wastong pangangasiwa ng mga espesyal na ginawang LNK file, na nagpapahintulot sa nakakahamak na nilalaman na manatiling hindi nakikita sa user interface ngunit nagpapatupad pa rin ng code sa konteksto ng kasalukuyang user. Ang karagdagang inspeksyon ay nagsiwalat ng isang subset ng siyam na naturang LNK file, na sinasamantala ang isang parsing confusion flaw na dulot ng bahagyang pagpapatupad ng Microsoft ng MS-SHLLINK na detalye (v8.0).

Pagkalito sa Parsing: Pagtutukoy kumpara sa Pagpapatupad

Ang spec ng MS-SHLLINK ay nagbibigay-daan para sa mga haba ng string na hanggang 65,535 na mga character, ngunit nililimitahan ng Windows 11 ang aktwal na nilalaman sa 259 na mga character, na ang mga argumento sa command-line ay ang pagbubukod. Ang mismatch na ito ay nagpapakilala ng mga hindi pagkakapare-pareho sa kung paano binibigyang-kahulugan ang mga LNK file sa mga platform.

Sinasamantala ng mga umaatake ang puwang na ito sa pamamagitan ng paggawa ng mga LNK file na lumalabas na wasto o di-wasto depende sa parser, na nagpapagana ng:

• Pagpapatupad ng hindi inaasahang o nakatagong mga utos
• Pag-iwas sa pagtuklas ng parehong Windows UI at mga tool sa pagsusuri ng third-party

Sa pamamagitan ng pagsasama-sama nito sa mga diskarte sa whitespace padding, epektibong nakukubli ng mga kalaban ang tunay na layunin ng shortcut, na nagdaragdag ng mga pagkakataon ng matagumpay na pagpapatupad nang hindi inaalerto ang mga user o mga tool sa seguridad.

Chain ng Infection: ZIP Archives, Decoys, at DLL Sideloading

Ang natukoy na siyam na malisyosong LNK file ay ipinamahagi sa ZIP archive, bawat isa ay naglalaman ng isa pang ZIP archive na naka-bundle:

• Isang decoy na PDF na dokumento
• Isang lehitimong executable ang pinalitan ng pangalan
• Isang malisyosong DLL na na-sideload ng binary

Ang DLL na ito, na pinangalanang ETDownloader, ay nagsisilbing first-stage payload na idinisenyo upang i-download ang pangunahing implant - XDigo.

XDigo: Isang Pinong Data Stealer

Ang XDigo ay isang Go-based na malware implant na na-assess na isang ebolusyon ng UsrRunVGA.exe, na dati nang naidokumento noong Oktubre 2023. Ito ay nilagyan ng:

• Mag-ani ng mga lokal na file.
• Kunin ang nilalaman ng clipboard.
• Kumuha ng mga screenshot.
• Magsagawa ng mga command o binary na kinuha mula sa isang malayuang server sa pamamagitan ng HTTP GET.
• I-exfiltrate ang ninakaw na data gamit ang mga kahilingan sa HTTP POST.

Kinukumpirma ng functionality na ito ang papel ng XDigo bilang isang espionage-oriented stealer na idinisenyo para sa palihim na pangangalap ng impormasyon.

Target na Profile at Tactical Consistency

Kinumpirma ng mga imbestigador ang hindi bababa sa isang target sa rehiyon ng Minsk, na may karagdagang mga palatandaan na nagtuturo sa mga operasyon laban sa mga retail group ng Russia, mga institusyong pampinansyal, mga kompanya ng seguro, at mga serbisyo sa koreo ng pamahalaan. Ang biktimang ito ay malapit na umaayon sa makasaysayang pokus ng XDSpy, lalo na sa Silangang Europa at Belarus.

Mga Teknik sa Pag-iwas at Taktikal na Sopistikado

Ang XDSpy ay nagpakita ng isang malakas na kakayahan para sa pag-iwas sa mga modernong depensa. Kapansin-pansin, ang kanilang malware ang unang nagtangkang umiwas sa isang partikular na solusyon sa sandbox, na nagpapakita ng mataas na antas ng pag-customize at kakayahang umangkop bilang tugon sa mga umuusbong na landscape ng seguridad.

Buod: Mga Pangunahing Takeaway

Ang XDigo campaign ay nagpapakita ng isang sopistikadong timpla ng mga diskarte at mga diskarte sa pag-target. Kasama dito ang pagsasamantala ng isang kahinaan sa Windows na kinilala bilang ZDI-CAN-25373 sa pamamagitan ng mga espesyal na ginawang LNK file, kasama ang pagmamanipula ng mga hindi pagkakapare-pareho ng pag-parse ng LNK upang itago ang malisyosong aktibidad. Umasa din ang mga attacker sa pag-sideload ng DLL sa pamamagitan ng paggamit ng pinalitan ng pangalan na mga lehitimong executable para mag-load ng mga rogue na bahagi. Ang komunikasyon sa command-and-control na imprastraktura at ang exfiltration ng ninakaw na data ay isinagawa sa mga karaniwang HTTP protocol, na nagbibigay-daan sa stealth at pag-iwas.

Sa mga tuntunin ng pag-target, ang kampanya ay lubos na nakatuon sa mga entidad ng pamahalaan, partikular sa Belarus at Russia. Pinalawak din nito ang abot nito sa mga sektor ng pananalapi at tingi, gayundin ang malalaking kompanya ng seguro at pambansang serbisyo sa koreo. Binibigyang-diin ng operasyong ito ang patuloy na pagbabago ng mga aktor ng pagbabanta na nakahanay sa estado at pinatitibay ang kritikal na pangangailangang suriin kahit na tila hindi nakakapinsalang mga uri ng file, tulad ng mga LNK file, para sa mga nakatagong pagbabanta.