XDigo 惡意軟體
網路安全研究人員發現了一項新的網路間諜活動,涉及一款名為 XDigo 的基於 Go 語言的竊取程序,該程式於 2025 年 3 月針對東歐政府組織進行了部署。該惡意軟體與持續威脅行為者組織 XDSpy 有關,該組織至少自 2011 年以來一直活躍於該地區。
目錄
XDSpy 的回歸:十年的監控
XDSpy 是一個記錄詳實的網路間諜組織,以針對東歐和巴爾幹半島的政府機構而聞名。 XDSpy 於 2020 年首次公開分析,多年來一直保持穩定的活動模式,其工具包和目標範圍不斷改進。
該組織最近發起的活動襲擊了俄羅斯和摩爾多瓦的組織,部署了 UTask、XDDown 和 DSDownloader 等惡意軟體系列,這些工具旨在下載額外的有效載荷並從受感染的系統中竊取敏感資料。
LNK漏洞:Windows捷徑背後的隱患
XDigo 活動採用多階段攻擊鏈,從 Windows 捷徑檔案 (.LNK) 開始,利用 Microsoft Windows 中追蹤 ZDI-CAN-25373 的遠端程式碼執行漏洞,該漏洞於 2025 年 3 月公開揭露。
此漏洞源自於對特製 LNK 檔案處理不當,導致惡意內容在使用者介面中不可見,但仍可在目前使用者上下文中執行程式碼。進一步檢查發現,存在九個此類 LNK 檔案的子集,利用了微軟部分實現 MS-SHLLINK 規範 (v8.0) 導致的解析混淆漏洞。
解析混淆:規範與實現
MS-SHLLINK 規範允許字串長度最多為 65,535 個字符,但 Windows 11 將實際內容限制為 259 個字符(命令列參數除外)。這種不匹配導致 LNK 檔案在不同平台的解釋方式不一致。
攻擊者利用這一漏洞,透過製作根據解析器看起來有效或無效的 LNK 文件,實現:
- 執行意外或隱藏的命令
- 逃避 Windows UI 和第三方分析工具的偵測
透過將其與空格填充技術相結合,對手可以有效地掩蓋快捷方式的真實意圖,從而增加成功執行的機會,而不會提醒使用者或安全工具。
感染鏈:ZIP 壓縮包、誘餌和 DLL 側載
已識別的九個惡意 LNK 檔案以 ZIP 壓縮包的形式分發,每個 ZIP 壓縮包都包含另一個 ZIP 壓縮包,其中包含以下內容:
- 誘餌 PDF 文檔
- 重命名的合法可執行文件
- 二進位檔案側載的惡意 DLL
這個名為 ETDownloader 的 DLL 是第一階段的有效載荷,用於下載主要植入程式 XDigo。
XDigo:一款精煉的資料竊取程序
XDigo 是一種基於 Go 的惡意軟體植入程序,被評估為 UsrRunVGA.exe 的演進版本,該版本於 2023 年 10 月被記錄在案。它具有以下功能:
- 收集本地文件。
- 捕捉剪貼簿內容。
- 截取螢幕截圖。
- 執行透過 HTTP GET 從遠端伺服器取得的命令或二進位。
- 使用 HTTP POST 請求竊取被盜資料。
此功能證實了 XDigo 是一個以間諜為目的的竊取程序,旨在秘密收集資訊。
目標概況和戰術一致性
調查人員已確認明斯克地區至少有一個目標,進一步跡象表明,該組織針對俄羅斯零售集團、金融機構、保險公司和政府郵政服務開展了行動。這種受害者群體特徵與 XDSpy 以往的關注重點高度吻合,尤其是對東歐和白俄羅斯的關注。
規避技巧和戰術複雜性
XDSpy 展現出強大的規避現代防禦能力。值得注意的是,他們的惡意軟體是首個嘗試規避特定沙盒解決方案的惡意軟體,體現出其高度的客製化和適應性,能夠應對不斷變化的安全狀況。
摘要:關鍵要點
XDigo 攻擊活動展示了複雜的攻擊技術和目標定位策略。它利用了特製的 LNK 文件,利用編號為 ZDI-CAN-25373 的 Windows 漏洞,並操縱 LNK 解析不一致來掩蓋惡意活動。攻擊者也利用 DLL 側載,透過使用重命名的合法可執行檔來載入惡意元件。與命令和控制基礎設施的通訊以及被盜資料的洩漏均透過標準 HTTP 協定進行,從而實現了隱身和規避攻擊。
在攻擊目標方面,這次攻擊活動主要針對政府機構,尤其是白俄羅斯和俄羅斯的政府機構。此外,其攻擊範圍也擴展到金融和零售業,以及大型保險公司和國家郵政服務。這項行動凸顯了與國家結盟的威脅行為者的持續創新,並強調了審查即使是看似無害的文件類型(例如 LNK 文件)以發現隱藏威脅的迫切必要性。
