サイバーセキュリティ研究者は、2025年3月に東欧の政府機関を標的とした攻撃で使用されたXDigoと呼ばれるGoベースのマルウェアを発見しました。
攻撃の連鎖は、マルウェアを展開するための多段階プロセスの一部として、Windowsショートカット (LNK) ファイルのコレクションを利用したと言われています。フランスのサイバーセキュリティ企業HarfangLabが述べました。
XDSpyは、2011年以来東欧とバルカン半島の政府機関を標的としていることで知られるサイバースパイ活動に割り当てられた名前です。2020年初頭にベラルーシのCERTによって初めて文書化されました。
近年、ロシアとモルドバの企業は、追加のペイロードをダウンロードし、侵害されたホストから機密情報を盗むことができるUTask、XDDown、DSDownloaderのようなマルウェアファミリーを配信するさまざまなキャンペーンの標的となっています。
HarfangLabは、特別に作成されたLNKファイルを処理する際にトリガーされるMicrosoft Windowsのリモートコード実行の脆弱性を脅威アクターが利用していることを観察しました。この脆弱性 (ZDI-CAN-25373) は、今年3月初めにTrend Microによって公に開示されました。
“LNKファイル内の作成されたデータは、Windowsが提供するユーザーインターフェイスを通じてファイルを検査するユーザーに対して、ファイル内の危険なコンテンツを見えなくする可能性があります” と、Trend MicroのZero Day Initiative (ZDI) は当時述べました。”攻撃者はこの脆弱性を利用して、現在のユーザーのコンテキストでコードを実行することができます。”
ZDI-CAN-25373を悪用するLNKファイルのアーティファクトのさらなる分析により、Microsoftが独自のMS-SHLLINK仕様 (バージョン8.0) を実装していない結果として生じるLNK解析の混乱の欠陥を利用する9つのサンプルを含む小さなサブセットが明らかになりました。
仕様によれば、LNKファイル内の文字列の長さの最大理論限界は、2バイトでエンコードできる最大の整数値 (すなわち65,535文字) です。しかし、実際のWindows 11の実装では、コマンドライン引数を除いて、保存されるテキストコンテンツの合計が259文字に制限されています。
“これにより、仕様ごとに異なる解析が行われるLNKファイルや、仕様上無効であるはずのLNKファイルがMicrosoft Windowsでは実際には有効であるという混乱が生じます” とHarfangLabは述べました。
“この仕様からの逸脱により、特定のコマンドラインを実行するように見えるLNKファイルを作成したり、仕様を実装するサードパーティのパーサーによって無効とされるLNKファイルを作成したりすることができますが、Windowsでは別のコマンドラインを実行します。”
空白のパディング問題とLNK解析の混乱を組み合わせることで、攻撃者がWindows UIやサードパーティのパーサーで実行されているコマンドを隠すために利用できる可能性があります。
9つのLNKファイルはZIPアーカイブ内で配布されており、後者にはデコイPDFファイル、正当だが名前が変更された実行ファイル、およびバイナリを介してサイドロードされる不正なDLLが含まれています。
この攻撃チェーンは、BI.ZONEが先月末にSilent Werewolfとして追跡している脅威アクターによって、モルドバとロシアの企業にマルウェアを感染させるために実施されたと文書化されています。
DLLはETDownloaderと呼ばれるファーストステージのダウンローダーであり、インフラストラクチャ、被害者の特性、タイミング、戦術、ツールの重複に基づいて、XDigoと呼ばれるデータ収集インプラントを展開することを意図している可能性があります。XDigoは、2023年10月にKasperskyによって詳細が報告されたマルウェア (“UsrRunVGA.exe”) の新しいバージョンであると評価されています。
XDigoは、ファイルを収集し、クリップボードの内容を抽出し、スクリーンショットをキャプチャできるスティーラーです。また、HTTP GETリクエストを介してリモートサーバーから取得したコマンドやバイナリを実行するコマンドをサポートしています。データの流出はHTTP POSTリクエストを介して行われます。
少なくとも1つの確認されたターゲットがミンスク地域で特定されており、他のアーティファクトはロシアの小売グループ、金融機関、大手保険会社、政府の郵便サービスを標的としていることを示唆しています。
“このターゲットプロファイルは、特にベラルーシにおける東欧の政府機関を追求してきたXDSpyの歴史的な活動と一致しています” とHarfangLabは述べました。
“XDSpyの焦点は、彼らのマルウェアがPT SecurityのSandboxソリューションからの検出を回避しようとする最初のマルウェアとして報告されたように、そのカスタマイズされた回避能力によっても示されています。PT Securityはロシア連邦の公共および金融機関にサービスを提供するロシアのサイバーセキュリティ企業です。”
翻訳元: https://thehackernews.com/2025/06/xdigo-malware-exploits-windows-lnk-flaw.html