Cybersecurity-onderzoekers hebben een op Go gebaseerde malware genaamd Xdigo ontdekt die is gebruikt bij aanvallen op Oost-Europese overheidsentiteiten in maart 2025.
Van de aanvalsketens wordt gezegd dat ze een verzameling Windows-sneltoets (LNK) -bestanden hebben gebruikt als onderdeel van een meerfasenprocedure om de malware te implementeren, zei Harfanglab, het Franse cybersecuritybedrijf.
XDSPS is de naam die is toegewezen aan een cyberspionage waarvan bekend is dat deze zich sinds 2011 richt op overheidsinstanties in Oost -Europa en de Balkan. Het werd voor het eerst gedocumenteerd door de Wit -Russische cert in het begin van 2020.
In de afgelopen jaren zijn bedrijven in Rusland en Moldavië het doelwit van verschillende campagnes om malware -families zoals Utask, XDDown en DSDownloader te leveren die extra payloads kunnen downloaden en gevoelige informatie van gecompromitteerde hosts kunnen stelen.
Harfanglab zei dat het de dreigingsacteur zag die een externe code -uitvoeringsfout in Microsoft Windows gebruikte die wordt geactiveerd bij het verwerken van speciaal vervaardigde LNK -bestanden. De kwetsbaarheid (ZDI-CAN-25373) werd eerder deze maart publiekelijk bekendgemaakt door Trend Micro.
“Gevrilde gegevens in een LNK-bestand kunnen ervoor zorgen dat gevaarlijke inhoud in het bestand onzichtbaar is voor een gebruiker die het bestand inspecteert via de door Windows geleverde gebruikersinterface,” zei Trend Micro’s Zero Day Initiative (ZDI) destijds. “Een aanvaller kan deze kwetsbaarheid gebruiken om code uit te voeren in de context van de huidige gebruiker.”
Verdere analyse van het LNK-bestandsartefacten dat exploiteert ZDI-CAN-25373 heeft een kleinere subset ontdekt die negen monsters omvat, die profiteren van een LNK-parsing verwarringfout die stopt als gevolg van het feit dat Microsoft geen eigen MS-shllink-specificatie implementeert (versie 8.0).
Volgens de spec is de maximale theoretische limiet voor de lengte van een string in LNK -bestanden de grootste gehele waarde die kan worden gecodeerd binnen twee bytes (dwz 65.535 tekens). De werkelijke Windows 11-implementatie beperkt echter de totale opgeslagen tekstinhoud tot 259 tekens met uitzondering van opdrachtregelargumenten.
“Dit leidt tot verwarrende situaties, waarbij sommige LNK -bestanden per specificatie en in Windows anders worden ontleed, of zelfs dat sommige LNK -bestanden die per specificatie ongeldig moeten zijn, eigenlijk geldig zijn voor Microsoft Windows,” zei Harfanglab.
“Vanwege deze afwijking van de specificatie kan men specifiek een LNK -bestand maken dat schijnbaar een bepaalde opdrachtregel uitvoert of zelfs ongeldig is volgens derdenparsers die de specificatie implementeren, terwijl ze een andere opdrachtregel in Windows uitvoeren.”
Een gevolg van het combineren van het probleem van de witruimte met de verwarring van de LNK-parsing is dat het door aanvallers kan worden gebruikt om het commando te verbergen dat wordt uitgevoerd op zowel Windows UI als derden parsers.
De negen LNK -bestanden zouden zijn gedistribueerd in zip -archieven, waarbij elk van de laatste een tweede zip -archief bevat dat een Decoy PDF -bestand omvat, een legitiem maar hernoemd uitvoerbaar bestand en een malafide DLL die door het binary wordt geëist.
Het is vermeldenswaard dat deze aanvalsketen eind vorige maand door Bi.zone is gedocumenteerd, zoals uitgevoerd door een dreigingsacteur die het volgt als stille weerwolf om Moldavische en Russische bedrijven met malware te infecteren.
De DLL is een eerste-fase downloader genaamd Etdownloader die op zijn beurt waarschijnlijk bedoeld is om een implantaat voor gegevensverzameling te implementeren als Xdigo op basis van infrastructuur, slachtofferschap, timing, tactieken en overlapping van het gereedschap. XDigo wordt beoordeeld als een nieuwere versie van malware (“usrrunvga.exe”) die in oktober 2023 werd gedetailleerd door Kaspersky.
XDigo is een Stealer die bestanden kan oogsten, klembordinhoud kan uitpakken en screenshots kan maken. Het ondersteunt ook opdrachten om een opdracht uit te voeren of binair opgehaald van een externe server via HTTP GET -aanvragen. Gegevens -exfiltratie vindt plaats via HTTP -postverzoeken.
Ten minste één bevestigde doelwit is geïdentificeerd in de regio Minsk, met andere artefacten die suggereren dat Russische retailgroepen, financiële instellingen, grote verzekeringsmaatschappijen en overheidspostdiensten.
“Dit targetingprofiel sluit aan bij het historische streven van XDSPy van overheidsentiteiten in het bijzonder in Oost -Europa en Wit -Rusland,” zei Harfanglab.
“De focus van XDSPy wordt ook aangetoond door de aangepaste ontwijkingsmogelijkheden, omdat hun malware werd gerapporteerd als de eerste malware die probeerde detectie te ontwijken uit de Sandbox -oplossing van PT Security, een Russisch cybersecuritybedrijf dat service biedt aan openbare en financiële organisaties in de Russische Federatie.”
