XDSPY tehdit oyuncusu, Doğu Avrupa ve Rusya’daki hükümet kuruluşlarını hedeflemek için ZDI-CAN-25373 olarak adlandırılan Windows LNK sıfır gün güvenlik açığından yararlandığı tespit edildi.
Mart 2025’ten bu yana aktif olan bu devam eden kampanya, Trend Micro’nun ilk raporundan kaynaklanan ayrıntılı bir soruşturma ile açıklandığı gibi, Go’da hazırlanmış kötü niyetli Xdigo implantını dağıtmak için karmaşık bir çok aşamalı enfeksiyon zinciri kullanıyor.
Sofistike Siber Casusluk Kampanyası
Windows Explorer kullanıcı arayüzünü aşırı boşluklu dolgu yoluyla kötü niyetli komutları gizlemek için manipüle eden bu güvenlik açığının sömürülmesi, 2011’den beri gizli operasyonlarıyla bilinen bir grup olan XDSPY’nin gelişmiş taktiklerinin altını çiziyor.
.png
)
Başlangıçta şüpheli LNK dosyaları kümesinin tetiklediği soruşturma, saldırganların Microsoft’un MS-ShlLink spesifikasyonu ile gerçek uygulaması arasındaki tutarsızlıkları nasıl kullandıklarını ve hem kullanıcı arayüzü görünürlüğü hem de üçüncü taraf ayrılıcılardan kaçan gizli komut yürütmesine izin verdiğini ortaya koydu.
Harfang Labs raporuna göre, saldırı, ZIP arşivlerini dağıtan “Dokazatelstva.zip” ve “Proeyekt.zip” gibi zip arşivlerini dağıtan, Zdio-Can-25373 güvenlik açığını LNK consing karışıklığının yanında kullanan özel olarak hazırlanmış LNK dosyaları içeren açık e-postalarla başlar.
Teknik incelikler
Yürütüldükten sonra, bu dosyalar, kalıcılık oluşturan ve Xdigo olduğundan şüphelenilen bir sonraki aşama yükü getirmeye çalışan kötü amaçlı bir C# .NET DLL adlı bir Meşru Microsoft yürütülebilir dosyasını tetikler.[.]com.
Altyapı korelasyonları yoluyla tanımlanan XDIGO, Quan-Miami gibi komut ve kontrol sunucularıyla iletişim kurarak dosya tarama, pano yakalama ve ekran görüntüsü edinme özelliklerine sahip bir veri toplama implantıdır.[.]com.
Altyapı analizi, XDSPY’nin Dağıtım Sunucuları için Rus temalı alan adlarını ve C2 sunucuları için rastgele İngilizce kelimeleri, HTTP başlık desenleri gibi seçici işaretleyicilerin ve Huggingface analizi için büyük ikili dosyalara yönlendirmelerin yanı sıra kullanımı ortaya koymaktadır.
Kampanyanın, diğerleri arasında Belarus hükümet kuruluşlarına odaklanan hedeflemesi, XDSPY’nin Doğu Avrupa kurumlarına tarihsel odaklanmasıyla uyumlu ve kalıcı ve özel casusluk çabalarını vurguluyor.
Bu operasyonun teknik karmaşıklığı, XDIO’nun anti-analiz kontrolleri, veri açığa çıkması için AES-256-GCM şifrelemesi ve RSA tabanlı komut kimlik doğrulaması, bu tür gizli rakiplere karşı sağlam savunma stratejileri gerektiren gelişen bir tehdit manzarasını göstererek daha da kanıtlanmıştır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge (SHA-256 / Etki Alanı) | Tanım |
|---|---|---|
| Zip arşivi | A28E84BFBAD9107AD398025C24AEEAA00A870ECA09039076A0360DCBD869 | Xdspy zip, dokazatelstva.zip |
| LC Dosyası | 0b705938e0063e73e03645e0c7a00f7c8d85333f1912eab5bf9ad7bc4d2cf9c3 | XDSPY LNK, Selats_089741.lnk |
| ETDownloader | 792c5a2628ec1be86e3b0a73a44c1a924757245355e796b9d0d0a58e37b62b | XDSPY ETDownloader, D3d9.dll |
| Xdigo kötü amaçlı yazılım | 0D983F5FB403B500EC48F13A951548D5A10572FDE207CF3F976B9DAFB660F7E | Xdigo kötü amaçlı yazılım, vwjqrvdy.exe |
| Etki Alanı (Dağıtım) | Vashazagruzka365[.]com | XDSPY Dağıtım, Mart 2025 |
| Alan (C2) | Quan-miami[.]com | XDIO C2, Şubat 2025 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin