XDigo 恶意软件
网络安全研究人员发现了一项新的网络间谍活动,涉及一款名为 XDigo 的基于 Go 语言的窃取程序,该程序于 2025 年 3 月针对东欧政府组织进行了部署。该恶意软件与持续威胁行为者组织 XDSpy 有关,该组织至少自 2011 年以来一直活跃于该地区。
目录
XDSpy 的回归:十年的监控
XDSpy 是一个记录详实的网络间谍组织,以针对东欧和巴尔干地区的政府机构而闻名。XDSpy 于 2020 年首次公开分析,多年来一直保持稳定的活动模式,其工具包和目标范围不断改进。
该组织最近发起的活动袭击了俄罗斯和摩尔多瓦的组织,部署了 UTask、XDDown 和 DSDownloader 等恶意软件系列,这些工具旨在下载额外的有效载荷并从受感染的系统中窃取敏感数据。
LNK漏洞:Windows快捷方式背后的隐患
XDigo 活动采用多阶段攻击链,从 Windows 快捷方式文件 (.LNK) 开始,利用 Microsoft Windows 中跟踪为 ZDI-CAN-25373 的远程代码执行漏洞,该漏洞于 2025 年 3 月公开披露。
此漏洞源于对特制 LNK 文件处理不当,导致恶意内容在用户界面中不可见,但仍可在当前用户上下文中执行代码。进一步检查发现,存在九个此类 LNK 文件的子集,利用了微软部分实现 MS-SHLLINK 规范 (v8.0) 导致的解析混淆漏洞。
解析混淆:规范与实现
MS-SHLLINK 规范允许字符串长度最多为 65,535 个字符,但 Windows 11 将实际内容限制为 259 个字符(命令行参数除外)。这种不匹配导致 LNK 文件在不同平台的解释方式不一致。
攻击者利用这一漏洞,通过制作根据解析器看起来有效或无效的 LNK 文件,实现:
- 执行意外或隐藏的命令
- 逃避 Windows UI 和第三方分析工具的检测
通过将其与空格填充技术相结合,对手可以有效地掩盖快捷方式的真实意图,从而增加成功执行的机会,而不会提醒用户或安全工具。
感染链:ZIP 压缩文件、诱饵和 DLL 侧载
已识别的九个恶意 LNK 文件以 ZIP 压缩包的形式分发,每个 ZIP 压缩包都包含另一个 ZIP 压缩包,其中包含以下内容:
- 诱饵 PDF 文档
- 重命名的合法可执行文件
- 二进制文件侧载的恶意 DLL
这个名为 ETDownloader 的 DLL 是第一阶段的有效载荷,用于下载主要植入程序 XDigo。
XDigo:一款精炼的数据窃取程序
XDigo 是一种基于 Go 的恶意软件植入程序,被评估为 UsrRunVGA.exe 的演变版本,该版本于 2023 年 10 月被记录在案。它具有以下功能:
- 收集本地文件。
- 捕获剪贴板内容。
- 截取屏幕截图。
- 执行通过 HTTP GET 从远程服务器获取的命令或二进制文件。
- 使用 HTTP POST 请求窃取被盗数据。
此功能证实了 XDigo 是一个以间谍为目的的窃取程序,旨在秘密收集信息。
目标概况和战术一致性
调查人员已确认明斯克地区至少有一个目标,进一步迹象表明,该组织针对俄罗斯零售集团、金融机构、保险公司和政府邮政服务开展了行动。这种受害者群体特征与 XDSpy 以往的关注重点高度吻合,尤其是对东欧和白俄罗斯的关注。
规避技巧和战术复杂性
XDSpy 展现出强大的规避现代防御能力。值得注意的是,他们的恶意软件是首个尝试规避特定沙盒解决方案的恶意软件,体现出其高度的定制化和适应性,能够应对不断变化的安全形势。
摘要:关键要点
XDigo 攻击活动展示了复杂的攻击技术和目标定位策略。它利用了特制的 LNK 文件,利用编号为 ZDI-CAN-25373 的 Windows 漏洞,并操纵 LNK 解析不一致来掩盖恶意活动。攻击者还利用 DLL 侧载,通过使用重命名的合法可执行文件来加载恶意组件。与命令和控制基础设施的通信以及被盗数据的泄露均通过标准 HTTP 协议进行,从而实现了隐身和规避攻击。
在攻击目标方面,此次攻击活动主要针对政府机构,尤其是白俄罗斯和俄罗斯的政府机构。此外,其攻击范围还扩展到金融和零售行业,以及大型保险公司和国家邮政服务。此次行动凸显了与国家结盟的威胁行为者的持续创新,并强调了审查即使是看似无害的文件类型(例如 LNK 文件)以发现隐藏威胁的迫切必要性。
