Кибершпионы атакуют госструктуры через малоизвестную уязвимость в Windows

Группа XDSpy, действующая с 2011 года, вновь обнаружена в ходе новой шпионской кампании, нацеленной на государственные структуры Восточной Европы и России. Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис», отметил, что политически мотивированные атаки становятся всё более изощрёнными.

Эксперты HarfangLab выявили, что злоумышленники используют малоизвестную уязвимость в обработке Windows LNK-файлов (ZDI-CAN-25373), позволяющую вредоносному коду скрываться за невидимыми аргументами в ярлыках. «Пользователю они кажутся безопасными, но фактически запускают цепочку загрузчиков и шпионских модулей XDigo, способных похищать документы, делать скриншоты и красть данные из буфера обмена», — пояснил руководитель группы аналитики.

Жданухин добавил: «GSOC компании "Газинформсервис" помогает внедрить уровень разведки и защиты, сопоставимый с уровнем угрозы. Используя проактивный поиск угроз (Threat Hunting), GSOC анализирует нестандартные паттерны в LNK-файлах и подозрительную активность PowerShell-команд, даже когда атаки замаскированы под "безобидные" ярлыки. При обнаружении подобных аномалий команда SOC способна организовать защиту: блокировать загрузку вторичных DLL-библиотек, инициировать оперативное реагирование и провести ретроспективный анализ инцидента. Такой подход превращает GSOC в активную систему обороны, способную нейтрализовать сложные шпионские кампании до нанесения ущерба».