Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware XDigo-Malware

XDigo-Malware

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Cyberspionagekampagne aufgedeckt, an der ein Go-basierter Stealer namens XDigo beteiligt war. Dieser wurde im März 2025 gegen osteuropäische Regierungsorganisationen eingesetzt. Die Malware steht im Zusammenhang mit der hartnäckigen Bedrohungsakteurgruppe XDSpy, die seit mindestens 2011 in der Region aktiv ist.

Die Rückkehr von XDSpy: Ein Jahrzehnt der Überwachung

XDSpy ist eine gut dokumentierte Cyberspionagegruppe, die dafür bekannt ist, Regierungsbehörden in Osteuropa und auf dem Balkan ins Visier zu nehmen. XDSpy wurde 2020 erstmals öffentlich analysiert und hat seitdem ein stetiges Aktivitätsmuster beibehalten und sein Toolkit und seinen Zielbereich im Laufe der Jahre weiterentwickelt.

Jüngste Kampagnen, die der Gruppe zugeschrieben werden, trafen Organisationen in Russland und Moldawien und setzten Malware-Familien wie UTask, XDDown und DSDownloader ein – Tools, die darauf ausgelegt sind, zusätzliche Nutzlasten herunterzuladen und vertrauliche Daten von infizierten Systemen abzuschöpfen.

LNK-Exploits: Die versteckte Gefahr hinter Windows-Verknüpfungen

Die XDigo-Kampagne verwendet eine mehrstufige Angriffskette, die mit Windows-Verknüpfungsdateien (.LNK) beginnt und eine Remotecodeausführungsschwachstelle in Microsoft Windows ausnutzt, die als ZDI-CAN-25373 verfolgt und im März 2025 öffentlich bekannt gegeben wurde.

Diese Sicherheitslücke entsteht durch unsachgemäße Handhabung speziell gestalteter LNK-Dateien. Dadurch bleiben schädliche Inhalte in der Benutzeroberfläche unsichtbar, führen aber dennoch Code im Kontext des aktuellen Benutzers aus. Eine genauere Untersuchung ergab neun solcher LNK-Dateien, die einen Fehler bei der Analyse ausnutzten, der durch die teilweise Implementierung der MS-SHLLINK-Spezifikation (v8.0) durch Microsoft verursacht wurde.

Verwirrung beim Parsen: Spezifikation vs. Implementierung

Die MS-SHLLINK-Spezifikation erlaubt Zeichenfolgenlängen von bis zu 65.535 Zeichen, Windows 11 begrenzt den tatsächlichen Inhalt jedoch auf 259 Zeichen, mit Ausnahme von Befehlszeilenargumenten. Diese Diskrepanz führt zu Inkonsistenzen bei der plattformübergreifenden Interpretation von LNK-Dateien.

Angreifer nutzen diese Lücke aus, indem sie LNK-Dateien erstellen, die je nach Parser gültig oder ungültig erscheinen. Dadurch wird Folgendes ermöglicht:

  • Ausführung unerwarteter oder versteckter Befehle
  • Vermeidung der Erkennung durch die Windows-Benutzeroberfläche und Analysetools von Drittanbietern

Durch die Kombination mit Whitespace-Padding-Techniken verschleiern Angreifer effektiv die wahre Absicht der Verknüpfung und erhöhen so die Chancen einer erfolgreichen Ausführung, ohne Benutzer oder Sicherheitstools zu alarmieren.

Infektionskette: ZIP-Archive, Decoys und DLL-Sideloading

Die identifizierten neun schädlichen LNK-Dateien wurden in ZIP-Archiven verteilt, die jeweils ein weiteres ZIP-Archiv enthielten, das Folgendes bündelte:

  • Ein Lockvogel-PDF-Dokument
  • Eine legitime ausführbare Datei umbenannt
  • Eine bösartige DLL, die von der Binärdatei seitlich geladen wurde

Diese DLL mit dem Namen ETDownloader dient als Nutzlast der ersten Stufe zum Herunterladen des Hauptimplantats – XDigo.

XDigo: Ein raffinierter Datendieb

XDigo ist ein Go-basiertes Malware-Implantat, das als Weiterentwicklung von UsrRunVGA.exe gilt und bereits im Oktober 2023 dokumentiert wurde. Es verfügt über folgende Funktionen:

  • Lokale Dateien sammeln.
  • Inhalt der Zwischenablage erfassen.
  • Machen Sie Screenshots.
  • Führen Sie Befehle oder Binärdateien aus, die über HTTP GET von einem Remote-Server abgerufen wurden.
  • Exfiltrieren Sie gestohlene Daten mithilfe von HTTP-POST-Anfragen.

Diese Funktionalität bestätigt die Rolle von XDigo als spionageorientierter Stealer, der für die heimliche Informationsbeschaffung entwickelt wurde.

Zielprofil und taktische Konsistenz

Die Ermittler haben mindestens ein Ziel in der Region Minsk bestätigt. Weitere Hinweise deuten auf Operationen gegen russische Einzelhandelskonzerne, Finanzinstitute, Versicherungsunternehmen und staatliche Postdienste hin. Diese Viktimologie deckt sich eng mit dem historischen Fokus von XDSpy, insbesondere auf Osteuropa und Weißrussland.

Ausweichtechniken und taktische Raffinesse

XDSpy hat bewiesen, dass es moderne Abwehrmechanismen effektiv umgehen kann. Die Malware war die erste, die versuchte, eine spezifische Sandbox-Lösung zu umgehen. Dies zeugt von einem hohen Maß an Individualisierung und Anpassungsfähigkeit an sich entwickelnde Sicherheitslandschaften.

Zusammenfassung: Wichtige Erkenntnisse

Die XDigo-Kampagne präsentierte eine ausgeklügelte Kombination aus Techniken und Angriffsstrategien. Sie nutzte eine Windows-Sicherheitslücke namens ZDI-CAN-25373 über speziell manipulierte LNK-Dateien aus und manipulierte Inkonsistenzen im LNK-Parsing, um bösartige Aktivitäten zu verschleiern. Angreifer nutzten zudem DLL-Sideloading, indem sie umbenannte legitime ausführbare Dateien nutzten, um betrügerische Komponenten zu laden. Die Kommunikation mit der Command-and-Control-Infrastruktur und die Exfiltration gestohlener Daten erfolgten über Standard-HTTP-Protokolle, was Tarnung und Ausweichmanöver ermöglichte.

Die Kampagne zielte vor allem auf staatliche Einrichtungen, insbesondere in Weißrussland und Russland. Darüber hinaus weitete sie ihre Reichweite auf den Finanz- und Einzelhandelssektor sowie große Versicherungsunternehmen und nationale Postdienste aus. Diese Operation unterstreicht die anhaltende Innovationskraft staatlich ausgerichteter Bedrohungsakteure und unterstreicht die Notwendigkeit, selbst scheinbar harmlose Dateitypen wie LNK-Dateien auf versteckte Bedrohungen zu untersuchen.

Im Trend

Am häufigsten gesehen

Wird geladen...