Source: https://thehackernews.com/2025/06/xdigo-malware-exploits-windows-lnk-flaw.html
🛡 概要
2025年3月、サイバーセキュリティ研究者は、東欧の政府機関を標的とした攻撃で使用されるGoベースのマルウェア「XDigo」を発見しました。この攻撃は、複数の段階を経てマルウェアを展開するためにウィンドウズショートカット(LNK)ファイルを利用しています。フランスのサイバーセキュリティ企業HarfangLabによると、XDSpyというサイバー諜報活動は、2011年から東欧およびバルカン地域の政府機関を狙っており、2020年初頭にベラルーシのCERTによって最初に文書化されました。
🔍 技術詳細
HarfangLabは、特別に作成されたLNKファイルを処理する際にトリガーされるMicrosoft Windowsのリモートコード実行脆弱性(ZDI-CAN-25373)を利用していることを観察しました。この脆弱性により、ユーザーがファイルを検査しても危険なコンテンツが見えなくなる可能性があります。Trend MicroのZero Day Initiative(ZDI)は、「LNKファイルに作成されたデータが、ユーザーインターフェースを介してファイルを調査する際に無効化される可能性がある」と述べています。さらに分析を進めた結果、ZDI-CAN-25373を悪用するLNKファイルのサブセットが特定され、Microsoftが独自のMS-SHLLINK仕様を実装していないために生じる解析の混乱が明らかになりました。
⚠ 影響
この攻撃は、モルドバとロシアの企業を標的とし、特に金融機関や大手保険会社、政府の郵便サービスに影響を及ぼしています。XDigoはファイルを収集したり、クリップボードの内容を抽出したり、スクリーンショットをキャプチャする能力を持ち、HTTP GETリクエストを介してリモートサーバーからバイナリを実行するコマンドを受け取ることができます。データの流出はHTTP POSTリクエストを通じて行われ、少なくともミンスク地域における確認されたターゲットが存在します。HarfangLabは、この攻撃のプロファイルがXDSpyの歴史的な政府機関への追跡と一致していると指摘しています。
🛠 対策
この脅威に対抗するためには、ユーザーが不明なLNKファイルやZIPアーカイブを開かないことが重要です。また、最新のセキュリティパッチを適用し、信頼できるセキュリティソフトを導入することで、リモートコード実行のリスクを軽減できます。さらに、ネットワークの監視を強化し、異常なトラフィックを早期に発見することが必要です。組織内での定期的なセキュリティ教育を実施し、従業員がフィッシング攻撃やマルウェアの兆候を認識できるようにすることも重要です。
