攻擊活動概況

網絡安全研究人員發現一款名為XDigo的Go語言惡意軟件，該軟件被用于2025年3月針對東歐政府實體的攻擊活動。法國網絡安全公司HarfangLab表示，攻擊鏈利用了一系列Windows快捷方式(LNK)文件作為多階段攻擊流程的一部分來部署惡意軟件。

歷史背景與攻擊手法

自2011年以來，名為XDSpy的網絡間諜組織一直以東歐和巴爾干地區的政府機構為目標。該組織最早由白俄羅斯CERT在2020年初記錄在案。近年來，俄羅斯和摩爾多瓦的企業成為多起攻擊活動的目標，攻擊者投放了UTask、XDDown和DSDownloader等惡意軟件家族，這些軟件能夠下載額外載荷并從受感染主機竊取敏感信息。

HarfangLab觀察到，攻擊者利用了Microsoft Windows處理特制LNK文件時觸發的遠程代碼執行漏洞（編號ZDI-CAN-25373）。該漏洞由趨勢科技在今年3月初公開披露。

趨勢科技零日計劃(ZDI)指出："特制的LNK文件數據可能導致文件中的危險內容對通過Windows用戶界面檢查文件的用戶不可見。攻擊者可利用此漏洞在當前用戶上下文中執行代碼。"

技術細節分析

對利用ZDI-CAN-25373漏洞的LNK文件樣本分析發現，其中9個樣本利用了微軟未完全實現其MS-SHLLINK規范（8.0版）導致的LNK解析混淆漏洞。根據規范，LNK文件中字符串長度的理論最大值應為兩個字節可編碼的最大整數值（即65,535個字符），但Windows 11實際實現將存儲的文本內容限制為259個字符（命令行參數除外）。

HarfangLab表示："這導致某些LNK文件在規范與Windows系統中的解析方式存在差異，甚至某些按規范應無效的LNK文件在微軟Windows中實際有效。由于這種規范偏差，攻擊者可精心構造LNK文件，使其在實現規范的第三方解析器中看似執行特定命令行或顯示為無效，而在Windows中實際執行另一條命令行。"

結合空白填充問題與LNK解析混淆漏洞，攻擊者可隱藏Windows UI和第三方解析器中實際執行的命令。這9個LNK文件通過ZIP壓縮包分發，每個壓縮包內還包含第二個ZIP文件，其中有誘餌PDF文件、被重名的合法可執行文件以及通過二進制文件側加載的惡意DLL。

惡意軟件功能與目標

該DLL是第一階段的下載器ETDownloader，其功能很可能是部署名為XDigo的數據收集植入程序。根據基礎設施、受害者特征、時間節點、戰術和工具重疊情況分析，XDigo被認為是卡巴斯基2023年10月報告的惡意軟件"UsrRunVGA.exe"的新版本。

XDigo具有竊取文件、提取剪貼板內容和截屏的功能，還支持通過HTTP GET請求從遠程服務器獲取命令或二進制文件并執行。數據外泄通過HTTP POST請求實現。已確認至少一個明斯克地區的目標，其他證據表明攻擊還針對俄羅斯零售集團、金融機構、大型保險公司和政府郵政服務。

HarfangLab指出："這一目標特征與XDSpy歷史上針對東歐特別是白俄羅斯政府實體的攻擊模式一致。XDSpy的針對性還體現在其定制化的規避能力上，據報道該組織的惡意軟件是首個嘗試規避俄羅斯網絡安全公司PT Security沙箱解決方案檢測的惡意軟件，該公司為俄羅斯聯邦的公共和金融組織提供服務。"