Phần mềm độc hại XDigo

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch gián điệp mạng mới liên quan đến một kẻ đánh cắp dựa trên Go có tên là XDigo, được triển khai vào tháng 3 năm 2025 chống lại các tổ chức chính phủ Đông Âu. Phần mềm độc hại này có liên quan đến nhóm tác nhân đe dọa dai dẳng XDSpy, hoạt động trong khu vực này ít nhất là từ năm 2011.

Sự trở lại của XDSpy: Một thập kỷ giám sát

XDSpy là một nhóm gián điệp mạng được ghi chép đầy đủ, nổi tiếng với việc nhắm mục tiêu vào các cơ quan chính phủ trên khắp Đông Âu và Balkan. Lần đầu tiên được phân tích công khai vào năm 2020, XDSpy đã duy trì một mô hình hoạt động ổn định, phát triển bộ công cụ và phạm vi nhắm mục tiêu của mình trong nhiều năm.

Các chiến dịch gần đây được cho là do nhóm này thực hiện đã tấn công các tổ chức ở Nga và Moldova, triển khai các nhóm phần mềm độc hại như UTask, XDDown và DSDownloader - các công cụ được thiết kế để tải xuống các phần mềm độc hại bổ sung và đánh cắp dữ liệu nhạy cảm từ các hệ thống bị nhiễm.

LNK Exploits: Mối nguy hiểm tiềm ẩn đằng sau các phím tắt của Windows

Chiến dịch XDigo sử dụng chuỗi tấn công nhiều giai đoạn bắt đầu bằng các tệp lối tắt Windows (.LNK), khai thác lỗ hổng thực thi mã từ xa trong Microsoft Windows được theo dõi là ZDI-CAN-25373, được công bố công khai vào tháng 3 năm 2025.

Lỗ hổng này phát sinh từ việc xử lý không đúng cách các tệp LNK được thiết kế đặc biệt, cho phép nội dung độc hại vẫn ẩn trong giao diện người dùng nhưng vẫn thực thi mã trong ngữ cảnh của người dùng hiện tại. Kiểm tra thêm đã phát hiện ra một tập hợp con gồm chín tệp LNK như vậy, khai thác lỗ hổng gây nhầm lẫn khi phân tích cú pháp do Microsoft triển khai một phần thông số kỹ thuật MS-SHLLINK (v8.0).

Sự nhầm lẫn khi phân tích cú pháp: Đặc tả so với Triển khai

Đặc tả MS-SHLLINK cho phép độ dài chuỗi lên đến 65.535 ký tự, nhưng Windows 11 giới hạn nội dung thực tế ở mức 259 ký tự, với các đối số dòng lệnh là ngoại lệ. Sự không khớp này dẫn đến sự không nhất quán trong cách diễn giải tệp LNK trên các nền tảng.

Kẻ tấn công khai thác lỗ hổng này bằng cách tạo các tệp LNK có vẻ hợp lệ hoặc không hợp lệ tùy thuộc vào trình phân tích cú pháp, cho phép:

• Thực hiện các lệnh bất ngờ hoặc ẩn
• Tránh bị phát hiện bởi cả Windows UI và các công cụ phân tích của bên thứ ba

Bằng cách kết hợp điều này với các kỹ thuật đệm khoảng trắng, kẻ tấn công có thể che giấu mục đích thực sự của phím tắt, tăng khả năng thực hiện thành công mà không cảnh báo người dùng hoặc các công cụ bảo mật.

Chuỗi lây nhiễm: Lưu trữ ZIP, Mồi nhử và Tải phụ DLL

Chín tệp LNK độc hại đã được xác định được phân phối trong các tệp ZIP, mỗi tệp chứa một tệp ZIP khác bao gồm:

• Một tài liệu PDF giả mạo
• Một tệp thực thi hợp lệ được đổi tên
• Một DLL độc hại được tải phụ bởi nhị phân

DLL này có tên là ETDownloader, đóng vai trò là tải trọng giai đoạn đầu được thiết kế để tải xuống phần mềm cấy ghép chính - XDigo.

XDigo: Một kẻ đánh cắp dữ liệu tinh vi

XDigo là phần mềm độc hại dựa trên Go được đánh giá là phiên bản tiến hóa của UsrRunVGA.exe, từng được ghi nhận vào tháng 10 năm 2023. Phần mềm này được trang bị để:

• Thu thập các tập tin cục bộ.
• Ghi lại nội dung clipboard.
• Chụp ảnh màn hình.
• Thực thi các lệnh hoặc tệp nhị phân được lấy từ máy chủ từ xa thông qua HTTP GET.
• Trích xuất dữ liệu bị đánh cắp bằng cách sử dụng yêu cầu HTTP POST.

Chức năng này xác nhận vai trò của XDigo như một công cụ đánh cắp thông tin mang tính gián điệp được thiết kế để thu thập thông tin một cách bí mật.

Hồ sơ mục tiêu và tính nhất quán về mặt chiến thuật

Các nhà điều tra đã xác nhận ít nhất một mục tiêu ở khu vực Minsk, với nhiều dấu hiệu khác chỉ ra các hoạt động chống lại các tập đoàn bán lẻ, tổ chức tài chính, công ty bảo hiểm và dịch vụ bưu chính của chính phủ Nga. Nạn nhân này phù hợp chặt chẽ với trọng tâm lịch sử của XDSpy, đặc biệt là ở Đông Âu và Belarus.

Kỹ thuật né tránh và sự tinh vi về mặt chiến thuật

XDSpy đã chứng minh khả năng mạnh mẽ trong việc trốn tránh các biện pháp phòng thủ hiện đại. Đáng chú ý, phần mềm độc hại của họ là phần mềm đầu tiên cố gắng trốn tránh một giải pháp hộp cát cụ thể, phản ánh mức độ tùy chỉnh và khả năng thích ứng cao để ứng phó với bối cảnh bảo mật đang thay đổi.

Tóm tắt: Những điểm chính

Chiến dịch XDigo thể hiện sự kết hợp tinh vi giữa các kỹ thuật và chiến lược nhắm mục tiêu. Chiến dịch này bao gồm việc khai thác lỗ hổng Windows được xác định là ZDI-CAN-25373 thông qua các tệp LNK được thiết kế đặc biệt, cùng với việc thao túng các điểm không nhất quán trong quá trình phân tích cú pháp LNK để che giấu hoạt động độc hại. Những kẻ tấn công cũng dựa vào việc tải DLL bằng cách sử dụng các tệp thực thi hợp lệ được đổi tên để tải các thành phần độc hại. Việc giao tiếp với cơ sở hạ tầng chỉ huy và kiểm soát và việc rò rỉ dữ liệu bị đánh cắp được thực hiện qua các giao thức HTTP tiêu chuẩn, cho phép ẩn danh và trốn tránh.

Về mục tiêu, chiến dịch tập trung nhiều vào các thực thể chính phủ, đặc biệt là ở Belarus và Nga. Nó cũng mở rộng phạm vi hoạt động sang các lĩnh vực tài chính và bán lẻ, cũng như các công ty bảo hiểm lớn và các dịch vụ bưu chính quốc gia. Hoạt động này nhấn mạnh sự đổi mới liên tục của các tác nhân đe dọa liên kết với nhà nước và củng cố nhu cầu quan trọng là phải xem xét kỹ lưỡng ngay cả các loại tệp có vẻ vô hại, chẳng hạn như tệp LNK, để tìm các mối đe dọa ẩn.