Το XDigo malware στοχεύει ευρωπαϊκές κυβερνήσεις
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το XDigo malware στοχεύει ευρωπαϊκές κυβερνήσεις
https://www.secnews.gr/651779/xdigo-malware-stoxeuei-europaikes-kiberniseis/
Jun 23rd 2025, 17:48
by Digital Fortress
Το XDigo, ένα νέο κακόβουλο λογισμικό γραμμένο σε Go, έχει εντοπιστεί να χρησιμοποιείται σε στοχευμένες επιθέσεις κατασκοπείας εναντίον κυβερνητικών οργανισμών στην Ανατολική Ευρώπη.
Σύμφωνα με νέα έκθεση της γαλλικής εταιρείας κυβερνοασφάλειας HarfangLab, οι επιθέσεις, που εκδηλώθηκαν τον Μάρτιο του 2025, φαίνεται να αξιοποίησαν μια καλοσχεδιασμένη αλυσίδα πολλαπλών σταδίων, βασιζόμενη σε Windows shortcut (LNK) files, για την εγκατάσταση του κακόβουλου λογισμικού στα συστήματα-στόχους.
Η HarfangLab διαπίστωσε ότι οι επιτιθέμενοι αξιοποίησαν μια σοβαρή ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (ZDI-CAN-25373) στα Microsoft Windows. Ενεργοποιείται κατά την επεξεργασία ειδικά κατασκευασμένων αρχείων LNK. Το σφάλμα, που αποκαλύφθηκε από την Trend Micro στις αρχές Μαρτίου, επιτρέπει σε επιτιθέμενους να καμουφλάρουν κακόβουλο περιεχόμενο εντός ενός LNK, καθιστώντας το πρακτικά αόρατο στο περιβάλλον χρήστη του λειτουργικού.
Δείτε επίσης: NCSC: Το UMBRELLA STAND malware στοχεύει FortiGate firewalls
«Τα δεδομένα σε ένα αρχείο LNK μπορούν να κάνουν αόρατο το περιεχόμενο του αρχείου σε έναν χρήστη που το ελέγχει μέσω του user interface που παρέχεται από τα Windows», είχε δηλώσει το Zero Day Initiative (ZDI) της Trend Micro. «Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη».
Περαιτέρω ανάλυση των LNK file artifacts, που εκμεταλλεύονται το ZDI-CAN-25373, έδειξε ένα μικρότερο υποσύνολο που αποτελείται από εννέα δείγματα, τα οποία εκμεταλλεύονται ένα LNK parsing confusion flaw. Αυτό προκύπτει ως αποτέλεσμα της μη εφαρμογής του MS-SHLLINK specification από τη Microsoft (έκδοση 8.0).
Μια συνέπεια του συνδυασμού των παραπάνω κενών ασφαλείας είναι ότι επιτρέπει στους εισβολείς να αποκρύψουν την εντολή που εκτελείται τόσο στο περιβάλλον χρήστη των Windows όσο και σε προγράμματα ανάλυσης τρίτων κατασκευαστών.
Τα εννέα αρχεία LNK λέγεται ότι έχουν διανεμηθεί μέσα σε αρχεία ZIP, με καθένα από τα τελευταία να περιέχει ένα δεύτερο αρχείο ZIP που περιλαμβάνει ένα αρχείο PDF-δόλωμα, ένα νόμιμο αλλά μετονομασμένο εκτελέσιμο αρχείο και ένα δόλιο DLL που φορτώνεται μέσω του binary.
Αξίζει να σημειωθεί ότι αυτή η αλυσίδα επιθέσεων καταγράφηκε από τη BI.ZONE στα τέλη του περασμένου μήνα, και συνδέθηκε με τον απειλητικό φορέα Silent Werewolf.
Δείτε επίσης: Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Το DLL είναι ένα first-stage downloader με την ονομασία ETDownloader, το οποίο, πιθανότατα προορίζεται για την ανάπτυξη ενός malware συλλογής δεδομένων που αναφέρεται ως XDigo. Το XDigo αξιολογείται ως μια νεότερη έκδοση ενός κακόβουλου λογισμικού ("UsrRunVGA.exe") που περιγράφηκε λεπτομερώς από την Kaspersky τον Οκτώβριο του 2023.
Το νέο δείγμα προσφέρει δυνατότητες πλήρους επιτήρησης:
• Κλοπή αρχείων
• Εξαγωγή του περιεχομένου του προχείρου
• Λήψη στιγμιότυπων οθόνης
• Απομακρυσμένη εκτέλεση εντολών ή binary μέσω HTTP GET requests
• Μεταφορά των συλλεχθέντων δεδομένων μέσω HTTP POST requests
Δείτε επίσης: Banana Squad: Κακόβουλα GitHub repositories διανέμουν malware
Προστασία από malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το XDigo malware στοχεύει ευρωπαϊκές κυβερνήσεις
https://www.secnews.gr/651779/xdigo-malware-stoxeuei-europaikes-kiberniseis/
Jun 23rd 2025, 17:48
by Digital Fortress
Το XDigo, ένα νέο κακόβουλο λογισμικό γραμμένο σε Go, έχει εντοπιστεί να χρησιμοποιείται σε στοχευμένες επιθέσεις κατασκοπείας εναντίον κυβερνητικών οργανισμών στην Ανατολική Ευρώπη.
Σύμφωνα με νέα έκθεση της γαλλικής εταιρείας κυβερνοασφάλειας HarfangLab, οι επιθέσεις, που εκδηλώθηκαν τον Μάρτιο του 2025, φαίνεται να αξιοποίησαν μια καλοσχεδιασμένη αλυσίδα πολλαπλών σταδίων, βασιζόμενη σε Windows shortcut (LNK) files, για την εγκατάσταση του κακόβουλου λογισμικού στα συστήματα-στόχους.
Η HarfangLab διαπίστωσε ότι οι επιτιθέμενοι αξιοποίησαν μια σοβαρή ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (ZDI-CAN-25373) στα Microsoft Windows. Ενεργοποιείται κατά την επεξεργασία ειδικά κατασκευασμένων αρχείων LNK. Το σφάλμα, που αποκαλύφθηκε από την Trend Micro στις αρχές Μαρτίου, επιτρέπει σε επιτιθέμενους να καμουφλάρουν κακόβουλο περιεχόμενο εντός ενός LNK, καθιστώντας το πρακτικά αόρατο στο περιβάλλον χρήστη του λειτουργικού.
Δείτε επίσης: NCSC: Το UMBRELLA STAND malware στοχεύει FortiGate firewalls
«Τα δεδομένα σε ένα αρχείο LNK μπορούν να κάνουν αόρατο το περιεχόμενο του αρχείου σε έναν χρήστη που το ελέγχει μέσω του user interface που παρέχεται από τα Windows», είχε δηλώσει το Zero Day Initiative (ZDI) της Trend Micro. «Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη».
Περαιτέρω ανάλυση των LNK file artifacts, που εκμεταλλεύονται το ZDI-CAN-25373, έδειξε ένα μικρότερο υποσύνολο που αποτελείται από εννέα δείγματα, τα οποία εκμεταλλεύονται ένα LNK parsing confusion flaw. Αυτό προκύπτει ως αποτέλεσμα της μη εφαρμογής του MS-SHLLINK specification από τη Microsoft (έκδοση 8.0).
Μια συνέπεια του συνδυασμού των παραπάνω κενών ασφαλείας είναι ότι επιτρέπει στους εισβολείς να αποκρύψουν την εντολή που εκτελείται τόσο στο περιβάλλον χρήστη των Windows όσο και σε προγράμματα ανάλυσης τρίτων κατασκευαστών.
Τα εννέα αρχεία LNK λέγεται ότι έχουν διανεμηθεί μέσα σε αρχεία ZIP, με καθένα από τα τελευταία να περιέχει ένα δεύτερο αρχείο ZIP που περιλαμβάνει ένα αρχείο PDF-δόλωμα, ένα νόμιμο αλλά μετονομασμένο εκτελέσιμο αρχείο και ένα δόλιο DLL που φορτώνεται μέσω του binary.
Αξίζει να σημειωθεί ότι αυτή η αλυσίδα επιθέσεων καταγράφηκε από τη BI.ZONE στα τέλη του περασμένου μήνα, και συνδέθηκε με τον απειλητικό φορέα Silent Werewolf.
Δείτε επίσης: Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Το DLL είναι ένα first-stage downloader με την ονομασία ETDownloader, το οποίο, πιθανότατα προορίζεται για την ανάπτυξη ενός malware συλλογής δεδομένων που αναφέρεται ως XDigo. Το XDigo αξιολογείται ως μια νεότερη έκδοση ενός κακόβουλου λογισμικού ("UsrRunVGA.exe") που περιγράφηκε λεπτομερώς από την Kaspersky τον Οκτώβριο του 2023.
Το νέο δείγμα προσφέρει δυνατότητες πλήρους επιτήρησης:
• Κλοπή αρχείων
• Εξαγωγή του περιεχομένου του προχείρου
• Λήψη στιγμιότυπων οθόνης
• Απομακρυσμένη εκτέλεση εντολών ή binary μέσω HTTP GET requests
• Μεταφορά των συλλεχθέντων δεδομένων μέσω HTTP POST requests
Δείτε επίσης: Banana Squad: Κακόβουλα GitHub repositories διανέμουν malware
Προστασία από malware
Ο πρώτος και πιο σημαντικός τρόπος προστασίας από τα malware είναι η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, spyware, malware και άλλες επιθέσεις.
Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τα τελευταία γνωστά malware.
Επίσης, πρέπει να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Πολλά malware διαδίδονται μέσω επιθέσεων phishing, οπότε αποφεύγετε να ανοίγετε συνημμένα ή να κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί, επίσης, να βοηθήσει στην προστασία από τις επιθέσεις. Επίσης, η χρήση διπλής επαλήθευσης μπορεί να προσθέσει ένα επιπλέον επίπεδο ασφαλείας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους τα malware εισβάλλουν στο σύστημά σας και των τρόπων προστασίας από αυτά, μπορεί να σας βοηθήσει να παραμείνετε ασφαλείς.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz