攻擊活動(dòng)概況

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一款名為XDigo的Go語(yǔ)言惡意軟件，該軟件被用于2025年3月針對(duì)東歐政府實(shí)體的攻擊活動(dòng)。法國(guó)網(wǎng)絡(luò)安全公司HarfangLab表示，攻擊鏈利用了一系列Windows快捷方式(LNK)文件作為多階段攻擊流程的一部分來(lái)部署惡意軟件。

歷史背景與攻擊手法

自2011年以來(lái)，名為XDSpy的網(wǎng)絡(luò)間諜組織一直以東歐和巴爾干地區(qū)的政府機(jī)構(gòu)為目標(biāo)。該組織最早由白俄羅斯CERT在2020年初記錄在案。近年來(lái)，俄羅斯和摩爾多瓦的企業(yè)成為多起攻擊活動(dòng)的目標(biāo)，攻擊者投放了UTask、XDDown和DSDownloader等惡意軟件家族，這些軟件能夠下載額外載荷并從受感染主機(jī)竊取敏感信息。

HarfangLab觀察到，攻擊者利用了Microsoft Windows處理特制LNK文件時(shí)觸發(fā)的遠(yuǎn)程代碼執(zhí)行漏洞（編號(hào)ZDI-CAN-25373）。該漏洞由趨勢(shì)科技在今年3月初公開(kāi)披露。

趨勢(shì)科技零日計(jì)劃(ZDI)指出："特制的LNK文件數(shù)據(jù)可能導(dǎo)致文件中的危險(xiǎn)內(nèi)容對(duì)通過(guò)Windows用戶界面檢查文件的用戶不可見(jiàn)。攻擊者可利用此漏洞在當(dāng)前用戶上下文中執(zhí)行代碼。"

技術(shù)細(xì)節(jié)分析

對(duì)利用ZDI-CAN-25373漏洞的LNK文件樣本分析發(fā)現(xiàn)，其中9個(gè)樣本利用了微軟未完全實(shí)現(xiàn)其MS-SHLLINK規(guī)范（8.0版）導(dǎo)致的LNK解析混淆漏洞。根據(jù)規(guī)范，LNK文件中字符串長(zhǎng)度的理論最大值應(yīng)為兩個(gè)字節(jié)可編碼的最大整數(shù)值（即65,535個(gè)字符），但Windows 11實(shí)際實(shí)現(xiàn)將存儲(chǔ)的文本內(nèi)容限制為259個(gè)字符（命令行參數(shù)除外）。

HarfangLab表示："這導(dǎo)致某些LNK文件在規(guī)范與Windows系統(tǒng)中的解析方式存在差異，甚至某些按規(guī)范應(yīng)無(wú)效的LNK文件在微軟Windows中實(shí)際有效。由于這種規(guī)范偏差，攻擊者可精心構(gòu)造LNK文件，使其在實(shí)現(xiàn)規(guī)范的第三方解析器中看似執(zhí)行特定命令行或顯示為無(wú)效，而在Windows中實(shí)際執(zhí)行另一條命令行。"

結(jié)合空白填充問(wèn)題與LNK解析混淆漏洞，攻擊者可隱藏Windows UI和第三方解析器中實(shí)際執(zhí)行的命令。這9個(gè)LNK文件通過(guò)ZIP壓縮包分發(fā)，每個(gè)壓縮包內(nèi)還包含第二個(gè)ZIP文件，其中有誘餌PDF文件、被重名的合法可執(zhí)行文件以及通過(guò)二進(jìn)制文件側(cè)加載的惡意DLL。

惡意軟件功能與目標(biāo)

該DLL是第一階段的下載器ETDownloader，其功能很可能是部署名為XDigo的數(shù)據(jù)收集植入程序。根據(jù)基礎(chǔ)設(shè)施、受害者特征、時(shí)間節(jié)點(diǎn)、戰(zhàn)術(shù)和工具重疊情況分析，XDigo被認(rèn)為是卡巴斯基2023年10月報(bào)告的惡意軟件"UsrRunVGA.exe"的新版本。

XDigo具有竊取文件、提取剪貼板內(nèi)容和截屏的功能，還支持通過(guò)HTTP GET請(qǐng)求從遠(yuǎn)程服務(wù)器獲取命令或二進(jìn)制文件并執(zhí)行。數(shù)據(jù)外泄通過(guò)HTTP POST請(qǐng)求實(shí)現(xiàn)。已確認(rèn)至少一個(gè)明斯克地區(qū)的目標(biāo)，其他證據(jù)表明攻擊還針對(duì)俄羅斯零售集團(tuán)、金融機(jī)構(gòu)、大型保險(xiǎn)公司和政府郵政服務(wù)。

HarfangLab指出："這一目標(biāo)特征與XDSpy歷史上針對(duì)東歐特別是白俄羅斯政府實(shí)體的攻擊模式一致。XDSpy的針對(duì)性還體現(xiàn)在其定制化的規(guī)避能力上，據(jù)報(bào)道該組織的惡意軟件是首個(gè)嘗試規(guī)避俄羅斯網(wǎng)絡(luò)安全公司PT Security沙箱解決方案檢測(cè)的惡意軟件，該公司為俄羅斯聯(lián)邦的公共和金融組織提供服務(wù)。"