複数ライセンス割引見積
脅威データベース マルウェア XDigoマルウェア

XDigoマルウェア

マルウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

サイバーセキュリティ研究者らは、2025年3月に東欧の政府機関を標的として展開された、Go言語ベースのスティーラー「XDigo」を用いた新たなサイバースパイ活動を発見しました。このマルウェアは、少なくとも2011年からこの地域で活動している常習的脅威アクターグループ「XDSpy」と関連しています。

XDSpyの復活:監視の10年

XDSpyは、東ヨーロッパおよびバルカン半島の政府機関を標的とすることで知られる、十分に記録されたサイバースパイグループです。2020年に初めて公開分析されて以来、XDSpyは着実な活動パターンを維持し、ツールキットと標的範囲を長年にわたって進化させてきました。

このグループによる最近の攻撃では、ロシアとモルドバの組織が攻撃を受け、UTask、XDDown、DSDownloader などのマルウェア ファミリを展開しました。これらのツールは、追加のペイロードをダウンロードし、感染したシステムから機密データを吸い上げるために設計されています。

LNKエクスプロイト:Windowsショートカットに潜む危険

XDigo キャンペーンは、Windows ショートカット ファイル (.LNK) から始まる多段階の攻撃チェーンを採用し、2025 年 3 月に公開された ZDI-CAN-25373 として追跡されている Microsoft Windows のリモート コード実行の脆弱性を悪用します。

この脆弱性は、特別に細工されたLNKファイルの不適切な処理に起因しており、悪意のあるコンテンツがユーザーインターフェース上では非表示のまま、現在のユーザーのコンテキストでコードを実行可能となります。さらに調査を進めたところ、MicrosoftによるMS-SHLLINK仕様(v8.0)の部分的な実装に起因する解析混乱の脆弱性を悪用した、9つのLNKファイルのサブセットが見つかりました。

構文解析の混乱:仕様と実装

MS-SHLLINK仕様では文字列の長さは最大65,535文字まで許容されていますが、Windows 11では実際のコンテンツは259文字に制限されており、コマンドライン引数は例外です。この不一致により、プラットフォーム間でLNKファイルの解釈に不一致が生じます。

攻撃者は、パーサーに応じて有効または無効に見える LNK ファイルを作成することでこのギャップを悪用し、次のことが可能になります。

  • 予期しないコマンドや隠しコマンドの実行
  • Windows UIとサードパーティの分析ツールの両方による検出を回避する

これを空白パディング技術と組み合わせることで、攻撃者はショートカットの真の意図を効果的に隠蔽し、ユーザーやセキュリティ ツールに警告されることなく実行が成功する可能性を高めます。

感染チェーン:ZIPアーカイブ、デコイ、DLLサイドローディング

特定された 9 つの悪意のある LNK ファイルは ZIP アーカイブで配布されており、各アーカイブには次のものがバンドルされた別の ZIP アーカイブが含まれていました。

  • おとりのPDF文書
  • 正当な実行ファイルの名前が変更された
  • バイナリによってサイドロードされた悪意のあるDLL

ETDownloader という名前のこの DLL は、メインのインプラントである XDigo をダウンロードするように設計された第 1 段階のペイロードとして機能します。

XDigo: 洗練されたデータ窃盗ツール

XDigo は、2023 年 10 月に文書化された UsrRunVGA.exe の進化形であると評価される Go ベースのマルウェア インプラントです。次の機能を備えています。

  • ローカル ファイルを収集します。
  • クリップボードの内容をキャプチャします。
  • スクリーンショットを撮ります。
  • HTTP GET 経由でリモート サーバーから取得したコマンドまたはバイナリを実行します。
  • HTTP POST リクエストを使用して盗まれたデータを外部に持ち出します。

この機能は、XDigo がステルス的な情報収集を目的として設計されたスパイ活動志向のスティーラーとしての役割を裏付けています。

ターゲットプロファイルと戦術の一貫性

捜査官はミンスク地域で少なくとも1つの標的を確認しており、さらにロシアの小売グループ、金融機関、保険会社、政府系郵便局を標的とした攻撃を示唆する兆候も確認されています。この被害者構成は、XDSpyのこれまでの活動、特に東ヨーロッパとベラルーシへの重点的な取り組みと密接に一致しています。

回避技術と戦術の洗練

XDSpyは、最新の防御策を回避する強力な能力を実証しました。特に注目すべきは、このマルウェアが特定のサンドボックスソリューションの回避を試みた最初のマルウェアであったことです。これは、進化するセキュリティ環境に対応する高度なカスタマイズ性と適応性を反映しています。

要約: 重要なポイント

XDigoキャンペーンは、巧妙に組み合わされた手法と標的戦略を巧妙に組み合わせています。ZDI-CAN-25373として識別されるWindowsの脆弱性を、特別に細工されたLNKファイルを介して悪用し、LNKファイルの解析における不整合を巧みに操作することで、悪意のある活動を隠蔽していました。また、攻撃者はDLLサイドローディングを利用し、正規の実行ファイルの名前を変更して不正なコンポーネントをロードしていました。コマンドアンドコントロールインフラとの通信と窃取データの流出は、標準的なHTTPプロトコルを介して行われ、ステルス性と回避策を実現していました。

標的に関しては、今回のキャンペーンはベラルーシとロシアの政府機関を特に重点的に標的としていました。また、金融・小売業界、大手保険会社、国営郵便サービスにも攻撃範囲を広げました。この活動は、国家と連携する脅威アクターによる継続的なイノベーションを浮き彫りにするとともに、LNKファイルなど一見無害に見えるファイル形式であっても、隠れた脅威がないか精査する必要性を強調しています。

トレンド

PARKER Ransomware

ランサムウェア
PARKERランサムウェアは、被害者のデータを標的にして、使用できない状態にします。ドキュメント、PDF、写真、写真、アーカイブ、データベースなど、すべてのファイルタイプが影響を受ける可能性があります。十分に強力な暗号化アルゴリズムにより、影響を受けるユーザーが攻撃者の支援なしにファイルを復元するのを防ぐことができます。 その操作の一部として、脅威は元の名前に「.PARKER」を追加すること...

ADMON ランサムウェア

ランサムウェア
ADMON ランサムウェアは、マルウェア研究者が提出したサンプルの分析中に発見されました。この特定のランサムウェアの亜種は、ファイルを暗号化し、拡張子「.ADMON」を追加してファイル名を変更することで動作します。さらに、ADMON ランサムウェアの被害者には、「RESTORE_FILES_INFO.txt」というタイトルの身代金メモが提示されます。ファイル名に対する ADMON の影響を説...

レピグスリー.xyz

不正なウェブサイト, ブラウザハイジャッカー
Lepigthree.xyz の調査中に、Web サイトが信頼できない通知を表示するように設計されていることがわかりました。サイトの訪問者に、通知の受信に同意するように誘導するために、欺瞞的なメッセージが表示されます。 Lepigthree.xyz の発見は、他の疑わしい Web サイトを調べているときに発生しました。 Lepigthree.xyz で見つかった魅力的なメッセージ Web サ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
60,081
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
48,289
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
46,432
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...