Шкідливе програмне забезпечення XDigo
Дослідники з кібербезпеки виявили нову кампанію кібершпигунства за участю злодія на базі Go під назвою XDigo, який був розгорнутий у березні 2025 року проти урядових організацій Східної Європи. Шкідливе програмне забезпечення пов'язане з групою постійних зловмисників XDSpy, яка активна в регіоні щонайменше з 2011 року.
Зміст
Повернення XDSpy: Десятиліття стеження
XDSpy — це добре задокументована група кібершпигунів, відома своїми атаками на урядові установи по всій Східній Європі та на Балканах. XDSpy, діяльність якої вперше була публічно проаналізована у 2020 році, з роками підтримує стабільну модель діяльності, розвиваючи свій інструментарій та сферу діяльності.
Нещодавні кампанії, що приписуються цій групі, вразили організації в Росії та Молдові, використовуючи такі сімейства шкідливих програм, як UTask, XDDown та DSDown — інструменти, призначені для завантаження додаткових корисних даних та вилучення конфіденційних даних із заражених систем.
Експлойти LNK: прихована небезпека за ярликами Windows
Кампанія XDigo використовує багатоетапний ланцюг атак, який починається з файлів ярликів Windows (.LNK), використовуючи вразливість віддаленого виконання коду в Microsoft Windows, що відстежується як ZDI-CAN-25373, публічно розкриту в березні 2025 року.
Ця вразливість виникає через неправильну обробку спеціально створених LNK-файлів, що дозволяє шкідливому контенту залишатися невидимим в інтерфейсі користувача, але все ще виконувати код у контексті поточного користувача. Подальша перевірка виявила підмножину з дев'яти таких LNK-файлів, що використовують помилку плутанини під час синтаксичного аналізу, спричинену частковою реалізацією Microsoft специфікації MS-SHLLINK (версія 8.0).
Плутанина з розбором: Специфікація проти Реалізації
Специфікація MS-SHLLINK дозволяє довжину рядків до 65 535 символів, але Windows 11 обмежує фактичний вміст 259 символами, за винятком аргументів командного рядка. Ця невідповідність призводить до невідповідностей у тому, як файли LNK інтерпретуються на різних платформах.
Зловмисники використовують цю прогалину, створюючи LNK-файли, які виглядають дійсними або недійсними залежно від парсера, що дозволяє:
- Виконання неочікуваних або прихованих команд
- Уникнення виявлення як інтерфейсом користувача Windows, так і сторонніми інструментами аналізу
Поєднуючи це з методами додавання пробілами, зловмисники ефективно приховують справжній намір комбінації клавіш, збільшуючи шанси на успішне виконання, не попереджаючи користувачів чи інструменти безпеки.
Ланцюг зараження: ZIP-архіви, пастки та завантаження DLL
Виявлені дев'ять шкідливих LNK-файлів були розповсюджені в ZIP-архівах, кожен з яких містив ще один ZIP-архів, що включав:
- PDF-документ-приманка
- Перейменовано легітимний виконуваний файл
- Шкідлива DLL-бібліотека, завантажена бінарним файлом
Ця DLL-бібліотека під назвою ETDownloader слугує корисним навантаженням першого ступеня, призначеним для завантаження основного імплантату — XDigo.
XDigo: Витончений викрадач даних
XDigo — це шкідливе програмне забезпечення на базі Go, яке, як оцінюється, є еволюцією UsrRunVGA.exe, раніше задокументованого в жовтні 2023 року. Воно оснащене для:
- Збирати локальні файли.
- Захоплення вмісту буфера обміну.
- Зробіть скріншоти.
- Виконувати команди або бінарні файли, отримані з віддаленого сервера через HTTP GET.
- Витягуйте викрадені дані за допомогою HTTP POST-запитів.
Ця функціональність підтверджує роль XDigo як шпигунської програми-викрадача, призначеної для прихованого збору інформації.
Профіль цілі та тактична узгодженість
Слідчі підтвердили щонайменше одну ціль у Мінській області, а також інші ознаки вказують на операції проти російських роздрібних груп, фінансових установ, страхових компаній та державних поштових служб. Така віктимологія тісно пов'язана з історичною спрямованістю XDSpy, особливо на Східну Європу та Білорусь.
Техніки ухилення та тактична витонченість
XDSpy продемонстрував високу здатність обходити сучасні засоби захисту. Примітно, що їхнє шкідливе програмне забезпечення було першим, яке спробувало обійти специфічне рішення «пісочниці», що відображає високий ступінь налаштування та адаптивності у відповідь на зміни в ландшафтах безпеки.
Короткий зміст: Ключові висновки
Кампанія XDigo демонструє складне поєднання методів та стратегій таргетування. Вона включала використання вразливості Windows, ідентифікованої як ZDI-CAN-25373, через спеціально створені LNK-файли, а також маніпуляції з невідповідностями парсингу LNK для приховування шкідливої активності. Зловмисники також покладалися на завантаження DLL, використовуючи перейменовані легітимні виконувані файли для завантаження шахрайських компонентів. Зв'язок з інфраструктурою командування та управління та вилучення викрадених даних здійснювалися через стандартні HTTP-протоколи, що забезпечувало прихованість та уникнення атак.
Що стосується цільової аудиторії, кампанія була зосереджена переважно на державних установах, зокрема в Білорусі та Росії. Вона також поширила своє охоплення на фінансовий та роздрібний сектори, а також великі страхові компанії та національні поштові служби. Ця операція підкреслює постійні інновації державних порушників та підсилює критичну необхідність ретельно перевіряти навіть, здавалося б, нешкідливі типи файлів, такі як файли LNK, на наявність прихованих загроз.
