Siber güvenlik araştırmacıları, Mart 2025’te Doğu Avrupa hükümet kuruluşlarını hedefleyen saldırılarda kullanılan XDIO adlı GO tabanlı bir kötü amaçlı yazılım ortaya çıkardılar.
Fransız siber güvenlik şirketi Harfanglab, saldırı zincirlerinin kötü amaçlı yazılımları dağıtmak için çok aşamalı bir prosedürün bir parçası olarak bir Windows kısayolu (LNK) dosyaları koleksiyonundan kullandığı söyleniyor.
XDSPY, 2011’den beri Doğu Avrupa ve Balkanlar’daki devlet kurumlarını hedeflediği bilinen siber bir casusluğa atanan isimdir. İlk olarak 2020’nin başlarında Belarus sertifikası tarafından belgelenmiştir.
Son yıllarda, Rusya ve Moldova’daki şirketler, Utask, XDDown ve DSDownloader gibi, ek yükler indirebilen ve tehlikeye atılan ev sahiplerinden hassas bilgiler çalabilen kötü amaçlı yazılım aileleri sunmak için çeşitli kampanyalar tarafından hedef alınmıştır.
Harfanglab, tehdit oyuncusunun, özel olarak hazırlanmış LNK dosyalarını işlerken tetiklenen Microsoft Windows’ta uzaktan kod yürütme kusurundan yararlandığını gözlemlediğini söyledi. Güvenlik açığı (ZDI-CAN-25373) bu Mart ayında trend mikro tarafından kamuya açıklandı.
Trend Micro’nun Sıfır Gün Girişimi (ZDI), “Bir LNK dosyasındaki hazırlanmış veriler, dosyadaki tehlikeli içeriğin, Windows tarafından sağlanan kullanıcı arayüzü aracılığıyla dosyayı inceleyen bir kullanıcı için görünmez olmasına neden olabilir.” Dedi. “Bir saldırgan, mevcut kullanıcı bağlamında kodu yürütmek için bu güvenlik açığından yararlanabilir.”
ZDI-CAN-25373’ten yararlanan LNK dosya artefaktlarının daha fazla analizi, Microsoft’un kendi MS-slllink spesifikasyonunu uygulamadığı bir sonucu olarak LNK ayrıştırma karışıklığı kusurundan yararlanan dokuz örneği içeren daha küçük bir alt kümeyi ortaya çıkarmıştır (sürüm 8.0).
Spesifikasyona göre, LNK dosyaları içindeki bir dizenin uzunluğu için maksimum teorik sınır, iki bayt içinde kodlanabilen en büyük tamsayı değeridir (yani 65.535 karakter). Ancak, gerçek Windows 11 uygulaması, komut satırı bağımsız değişkenleri hariç toplam depolanan metin içeriğini 259 karakterle sınırlar.
Harfanglab, “Bu, bazı LNK dosyalarının spesifikasyon başına ve pencerelerde farklı şekilde ayrıştırıldığı kafa karıştırıcı durumlara, hatta spesifikasyon başına geçersiz olması gereken bazı LNK dosyalarının aslında Microsoft Windows için geçerli olduğu durumlara yol açar.” Dedi.
“Spesifikasyondan bu sapma nedeniyle, özellikle belirli bir komut satırını yürüten veya Windows’ta başka bir komut satırı yürütürken, belirli bir komut satırı yürüten veya hatta spesifikasyonu uygulayan üçüncü taraf ayrıştırıcılara göre geçersiz olabilir.”
Beyaz boşluk dolgusu sorununu LNK ayrıştırma karışıklığı ile birleştirmenin bir sonucu, hem Windows UI hem de üçüncü taraf ayrıştırıcılarda yürütülen komutu gizlemek için saldırganlar tarafından kaldırılabilmesidir.
Dokuz LNK dosyasının zip arşivleri içinde dağıtıldığı söylenir, ikincisinin her biri bir tuzak PDF dosyası, meşru ancak yeniden adlandırılan bir yürütülebilir ürün içeren ikinci bir fermuar arşivi ve ikili aracılığıyla yan yüklenen bir haydut dll içerir.
Bu saldırı zincirinin, geçen ayın sonlarında Bi.zone tarafından bir tehdit aktörü tarafından yürütüldüğü gibi belgelendiğini belirtmek gerekir.
DLL, altyapı, mağdur, zamanlama, taktikler ve takım çakışmalarına dayalı olarak XDIO olarak adlandırılan bir veri toplama implantını dağıtmayı amaçlayan ETDownloader olarak adlandırılan birinci aşama indiricidir. XDIGO, Ekim 2023’te Kaspersky tarafından detaylandırılan daha yeni bir kötü amaçlı yazılım (“usrrunvga.exe”) olarak değerlendirildi.
XDIO, dosyaları toplayabilen, pano içeriği çıkarabilen ve ekran görüntülerini yakalayabilen bir stealer. Ayrıca, HTTP GET istekleri üzerinden uzak bir sunucudan alınan bir komut veya ikili yürütme komutlarını da destekler. Veri eksfiltrasyonu, HTTP Post istekleri aracılığıyla gerçekleşir.
Minsk bölgesinde en az bir onaylanmış hedef tespit edildi ve diğer eserler Rus perakende gruplarının, finansal kurumların, büyük sigorta şirketlerinin ve hükümet posta hizmetlerinin hedeflenmesini önerdi.
Harfanglab, “Bu hedefleme profili, XDSPY’nin özellikle Doğu Avrupa ve Belarus’taki devlet kuruluşlarının tarihsel arayışıyla uyumludur.” Dedi.
“XDSPY’nin odağı, Rusya Federasyonu’ndaki kamu ve finansal kuruluşlara hizmet veren bir Rus siber güvenlik şirketi olan PT Security’nin Sandbox Solution’dan tespit edilmeye çalışan ilk kötü amaçlı yazılımlar olarak bildirildiği için özelleştirilmiş kaçırma yetenekleriyle de gösteriliyor.”