XDSPY Tehdit Oyuncuları Windows LNK Sıfır Gün Güvenlik Açığı’nı Hedef Windows System kullanıcılarını kullanmaya yönlendiriyor


XDSPY tehdit oyuncusu, Doğu Avrupa ve Rusya’daki hükümet kuruluşlarını hedeflemek için ZDI-CAN-25373 olarak adlandırılan Windows LNK sıfır gün güvenlik açığından yararlandığı tespit edildi.

Mart 2025’ten bu yana aktif olan bu devam eden kampanya, Trend Micro’nun ilk raporundan kaynaklanan ayrıntılı bir soruşturma ile açıklandığı gibi, Go’da hazırlanmış kötü niyetli Xdigo implantını dağıtmak için karmaşık bir çok aşamalı enfeksiyon zinciri kullanıyor.

Sofistike Siber Casusluk Kampanyası

Windows Explorer kullanıcı arayüzünü aşırı boşluklu dolgu yoluyla kötü niyetli komutları gizlemek için manipüle eden bu güvenlik açığının sömürülmesi, 2011’den beri gizli operasyonlarıyla bilinen bir grup olan XDSPY’nin gelişmiş taktiklerinin altını çiziyor.

– Reklamcılık –
Google Haberleri
Sıfır gün güvenlik açığı
Enfeksiyon zinciri grafiği

Başlangıçta şüpheli LNK dosyaları kümesinin tetiklediği soruşturma, saldırganların Microsoft’un MS-ShlLink spesifikasyonu ile gerçek uygulaması arasındaki tutarsızlıkları nasıl kullandıklarını ve hem kullanıcı arayüzü görünürlüğü hem de üçüncü taraf ayrılıcılardan kaçan gizli komut yürütmesine izin verdiğini ortaya koydu.

Harfang Labs raporuna göre, saldırı, ZIP arşivlerini dağıtan “Dokazatelstva.zip” ve “Proeyekt.zip” gibi zip arşivlerini dağıtan, Zdio-Can-25373 güvenlik açığını LNK consing karışıklığının yanında kullanan özel olarak hazırlanmış LNK dosyaları içeren açık e-postalarla başlar.

Teknik incelikler

Yürütüldükten sonra, bu dosyalar, kalıcılık oluşturan ve Xdigo olduğundan şüphelenilen bir sonraki aşama yükü getirmeye çalışan kötü amaçlı bir C# .NET DLL adlı bir Meşru Microsoft yürütülebilir dosyasını tetikler.[.]com.

Altyapı korelasyonları yoluyla tanımlanan XDIGO, Quan-Miami gibi komut ve kontrol sunucularıyla iletişim kurarak dosya tarama, pano yakalama ve ekran görüntüsü edinme özelliklerine sahip bir veri toplama implantıdır.[.]com.

Altyapı analizi, XDSPY’nin Dağıtım Sunucuları için Rus temalı alan adlarını ve C2 sunucuları için rastgele İngilizce kelimeleri, HTTP başlık desenleri gibi seçici işaretleyicilerin ve Huggingface analizi için büyük ikili dosyalara yönlendirmelerin yanı sıra kullanımı ortaya koymaktadır.

Sıfır gün güvenlik açığı
XDSPY ile Tanımlanan Altyapının İlk Bağlantıları

Kampanyanın, diğerleri arasında Belarus hükümet kuruluşlarına odaklanan hedeflemesi, XDSPY’nin Doğu Avrupa kurumlarına tarihsel odaklanmasıyla uyumlu ve kalıcı ve özel casusluk çabalarını vurguluyor.

Bu operasyonun teknik karmaşıklığı, XDIO’nun anti-analiz kontrolleri, veri açığa çıkması için AES-256-GCM şifrelemesi ve RSA tabanlı komut kimlik doğrulaması, bu tür gizli rakiplere karşı sağlam savunma stratejileri gerektiren gelişen bir tehdit manzarasını göstererek daha da kanıtlanmıştır.

Uzlaşma Göstergeleri (IOCS)

Tip Gösterge (SHA-256 / Etki Alanı) Tanım
Zip arşivi A28E84BFBAD9107AD398025C24AEEAA00A870ECA09039076A0360DCBD869 Xdspy zip, dokazatelstva.zip
LC Dosyası 0b705938e0063e73e03645e0c7a00f7c8d85333f1912eab5bf9ad7bc4d2cf9c3 XDSPY LNK, Selats_089741.lnk
ETDownloader 792c5a2628ec1be86e3b0a73a44c1a924757245355e796b9d0d0a58e37b62b XDSPY ETDownloader, D3d9.dll
Xdigo kötü amaçlı yazılım 0D983F5FB403B500EC48F13A951548D5A10572FDE207CF3F976B9DAFB660F7E Xdigo kötü amaçlı yazılım, vwjqrvdy.exe
Etki Alanı (Dağıtım) Vashazagruzka365[.]com XDSPY Dağıtım, Mart 2025
Alan (C2) Quan-miami[.]com XDIO C2, Şubat 2025

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link