Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım XDigo Kötü Amaçlı Yazılım

XDigo Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik araştırmacıları, Mart 2025'te Doğu Avrupa hükümet örgütlerine karşı konuşlandırılan XDigo adlı Go tabanlı bir hırsızı içeren yeni bir siber casusluk kampanyasını ortaya çıkardı. Kötü amaçlı yazılım, en az 2011'den beri bölgede aktif olan kalıcı tehdit aktörü grubu XDSpy ile bağlantılıdır.

XDSpy’ın Dönüşü: Gözetimin On Yılı

XDSpy, Doğu Avrupa ve Balkanlar'daki hükümet kurumlarını hedef alan iyi belgelenmiş bir siber casusluk grubudur. İlk olarak 2020'de kamuoyuna açıklanan XDSpy, yıllar içinde araç setini ve hedefleme kapsamını geliştirerek istikrarlı bir faaliyet örüntüsü sürdürdü.

Gruba atfedilen son kampanyalar, Rusya ve Moldova'daki kuruluşları hedef aldı ve UTask, XDDown ve DSDownloader gibi kötü amaçlı yazılım ailelerini dağıttı. Bu araçlar, enfekte olmuş sistemlerden ek yükler indirmek ve hassas verileri sızdırmak üzere tasarlandı.

LNK Saldırıları: Windows Kısayollarının Arkasındaki Gizli Tehlike

XDigo kampanyası, Mart 2025'te kamuoyuna açıklanan, Microsoft Windows'daki ZDI-CAN-25373 olarak izlenen uzaktan kod yürütme güvenlik açığından yararlanarak Windows kısayol dosyalarıyla (.LNK) başlayan çok aşamalı bir saldırı zinciri kullanıyor.

Bu güvenlik açığı, özel olarak hazırlanmış LNK dosyalarının uygunsuz bir şekilde işlenmesinden kaynaklanır ve kötü amaçlı içeriğin kullanıcı arayüzünde görünmez kalmasına ancak yine de geçerli kullanıcı bağlamında kod yürütmesine olanak tanır. Daha detaylı inceleme, Microsoft'un MS-SHLLINK spesifikasyonunun (v8.0) kısmi uygulamasından kaynaklanan bir ayrıştırma karışıklığı kusurundan yararlanan dokuz LNK dosyasının bir alt kümesini ortaya çıkardı.

Ayrıştırma Karmaşası: Belirtim ve Uygulama

MS-SHLLINK spesifikasyonu 65.535 karaktere kadar dize uzunluklarına izin verir, ancak Windows 11 gerçek içeriği 259 karakterle sınırlar, komut satırı argümanları istisnadır. Bu uyumsuzluk, LNK dosyalarının platformlar arasında nasıl yorumlandığı konusunda tutarsızlıklara neden olur.

Saldırganlar, ayrıştırıcıya bağlı olarak geçerli veya geçersiz görünen LNK dosyaları oluşturarak bu açığı suistimal eder ve şunları sağlar:

  • Beklenmeyen veya gizli komutların yürütülmesi
  • Hem Windows UI hem de üçüncü taraf analiz araçları tarafından tespit edilmekten kaçınmak

Bunu boşluk doldurma teknikleriyle birleştirerek saldırganlar kısayolun gerçek amacını etkili bir şekilde gizler ve kullanıcıları veya güvenlik araçlarını uyarmadan başarılı bir şekilde yürütülme şansını artırır.

Enfeksiyon Zinciri: ZIP Arşivleri, Aldatmacalar ve DLL Yan Yükleme

Belirlenen dokuz kötü amaçlı LNK dosyası, her biri aşağıdakileri içeren başka bir ZIP arşivi içeren ZIP arşivlerinde dağıtıldı:

  • Sahte bir PDF belgesi
  • Meşru bir yürütülebilir dosya yeniden adlandırıldı
  • İkili dosya tarafından yan yüklenen kötü amaçlı bir DLL

ETDownloader adlı bu DLL, ana implant olan XDigo'yu indirmek için tasarlanmış birinci aşama yükü olarak hizmet veriyor.

XDigo: Rafine Bir Veri Hırsızı

XDigo, Ekim 2023'te belgelenen UsrRunVGA.exe'nin bir evrimi olduğu değerlendirilen Go tabanlı bir kötü amaçlı yazılım implantıdır. Şunlarla donatılmıştır:

  • Yerel dosyaları hasat edin.
  • Panodaki içeriği yakalayın.
  • Ekran görüntüsü alın.
  • HTTP GET yoluyla uzak bir sunucudan alınan komutları veya ikili dosyaları yürütün.
  • HTTP POST isteklerini kullanarak çalınan verileri dışarı çıkarın.

Bu işlevsellik, XDigo'nun gizli bilgi toplamak için tasarlanmış casusluk odaklı bir hırsız olduğunu doğruluyor.

Hedef Profili ve Taktik Tutarlılık

Araştırmacılar Minsk bölgesinde en az bir hedefi doğruladılar ve Rus perakende gruplarına, finans kuruluşlarına, sigorta şirketlerine ve hükümet posta hizmetlerine yönelik operasyonlara işaret eden başka işaretler de var. Bu kurban bilimi, özellikle Doğu Avrupa ve Belarus'a yönelik XDSpy'ın tarihsel odak noktasıyla yakından örtüşüyor.

Kaçınma Teknikleri ve Taktiksel Karmaşıklık

XDSpy, modern savunmalardan kaçınmak için güçlü bir yetenek gösterdi. Özellikle, kötü amaçlı yazılımları, gelişen güvenlik manzaralarına yanıt olarak yüksek derecede özelleştirme ve uyarlanabilirlik yansıtarak, belirli bir sanal alan çözümünden kaçınmayı deneyen ilk yazılımdı.

Özet: Önemli Noktalar

XDigo kampanyası, tekniklerin ve hedefleme stratejilerinin karmaşık bir karışımını sergiliyor. Özel olarak hazırlanmış LNK dosyaları aracılığıyla ZDI-CAN-25373 olarak tanımlanan bir Windows güvenlik açığının istismarını ve kötü amaçlı faaliyetleri gizlemek için LNK ayrıştırma tutarsızlıklarının manipülasyonunu içeriyordu. Saldırganlar ayrıca, sahte bileşenleri yüklemek için yeniden adlandırılmış meşru yürütülebilir dosyaları kullanarak DLL yan yüklemesine güvendi. Komuta ve kontrol altyapısıyla iletişim ve çalınan verilerin dışarı sızdırılması, gizliliği ve kaçınmayı sağlayan standart HTTP protokolleri üzerinden yürütüldü.

Hedefleme açısından kampanya, özellikle Belarus ve Rusya'daki hükümet kuruluşlarına yoğun bir şekilde odaklandı. Ayrıca erişimini finans ve perakende sektörlerine, büyük sigorta şirketlerine ve ulusal posta hizmetlerine kadar genişletti. Bu operasyon, devletle uyumlu tehdit aktörlerinin sürekli yenilikçiliğini vurgular ve LNK dosyaları gibi görünüşte zararsız dosya türlerini bile gizli tehditler açısından incelemeye yönelik kritik ihtiyacı güçlendirir.

trend

En çok görüntülenen

Yükleniyor...