Новая отчетность раскрывает масштабную и технически продвинутую кибершпионскую кампанию, в которой злоумышленники эксплуатируют уязвимость ZDI-CAN-25373 в операционной системе Microsoft Windows. Эта уязвимость используется в качестве исходного вектора атаки через специально подготовленные файлы LNK, что позволяет скрытно выполнить вредоносные команды без ведома пользователя.
Механизм атаки и используемые инструменты
Атака начинается с распространения вредоносного LNK-файла, сопровождаемого ZIP-архивом, маскирующимся под INI-файл. Архив содержит легальный исполняемый файл Microsoft и вредоносную DLL-библиотеку, служащую для дополнительной загрузки вредоносного ПО.
- Пользователь распаковывает ZIP-файл и открывает LNK-файл;
- Запускается установка загрузчика с названием ETDownloader;
- ETDownloader сканирует различные типы документов, извлекает содержимое буфера обмена, делает скриншоты экрана и собирает список каталогов;
- Далее вредоносное ПО взаимодействует с командным сервером (C2) по адресу quan-miami.com, получая команды и exfiltrируя собранные данные.
Особенности коммуникации с C2 и скрытность
Взаимодействие с сервером управления структурировано следующим образом:
- Для получения команд применяются запросы GET;
- Данные отправляются через запросы POST с зашифрованным содержимым;
- Особенностью является динамическое включение серийного номера жесткого диска в запросы, что повышает скрытность и индивидуальность сессий.
Использование нескольких уровней шифрования и различных методов запутывания свидетельствует о высоком уровне сложности и профессионализме злоумышленников.
Связь с группой XDSpy и масштабы шпионской деятельности
Обнаруженная кампания связана с известной группировкой XDSpy, действующей не менее с 2011 года. Целями атак являются правительственные учреждения Восточной Европы, что указывает на целенаправленную и долгосрочную шпионскую активность.
Первоначальное внедрение ETDownloader способствовало обнаружению второго имплантата — XDigo. Он взаимодействует с командно-диспетчерской инфраструктурой, отражая постоянную эволюцию методов и технологий группировки. Инфраструктура XDSpy демонстрирует:
- Четкое разделение между загрузчиками и серверами C2;
- Хорошо замаскированные точки распространения вредоносного ПО;
- Использование уникальных тактик, методов и процедур (TTP) для обхода средств защиты и обнаружения.
Региональная направленность и операционная безопасность
Объектами прицельных атак XDSpy выступают государственные и экономические учреждения Беларуси и соседних регионов. Для поддержания собственной операционной безопасности злоумышленники применяют разнообразную инфраструктуру с постоянным обновлением тактик и инструментов.
«Поддержка операционной безопасности и непрерывное совершенствование вредоносной инфраструктуры делают XDSpy крайне опасным игроком на международной арене кибершпионажа», — отмечают эксперты.
Заключение
Данная кампания демонстрирует, насколько сложным и продуманным может быть кибершпионаж современного уровня. Эксплуатация уязвимости в Windows через файлы LNK, сочетание легитимных компонентов с вредоносными и эффективное общение с C2 являются ярким примером новых вызовов в сфере кибербезопасности.
Организациям рекомендовано повышать осведомленность пользователей о подобных методах атак и внедрять современные средства обнаружения угроз для предотвращения проникновения подобных вредоносных программ.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кибершпионаж XDSpy: сложная атака через уязвимость LNK-файлов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.