XDSpy

تم أخيرًا تسليط الضوء على أنشطة مجموعة المدقق التي استعصت على اهتمام مجتمع المعلومات والاتصالات منذ عام 2011 على الأقل. أطلق الباحثون على المجموعة الإجرامية اسم XDSpy ، ويعتقدون أنها من النوع APT (التهديد المستمر المتقدم) الذي ترعاه الدولة. المسرح الرئيسي لعمليات XDSpy هو أوروبا الشرقية والبلقان ، وتتراوح أهدافه من الكيانات الخاصة إلى المنظمات الحكومية.

كانت المرة الأولى التي تم فيها اكتشاف عمليات المجموعة بشكل قاطع عندما أصدر فريق استجابة طوارئ الكمبيوتر البيلاروسي تحذيرًا من أن مجموعة المتسللين التي لم يتم تسميتها آنذاك كانت تحاول جمع البيانات من الوزارات في البلاد. إلى جانب بيلاروسيا ، استهدفت XDSpy كيانات موجودة في روسيا ومولدوفا وأوكرانيا وصربيا وغيرها. يظهر الضحايا عددًا كبيرًا من الأنواع المختلفة ، بدءًا من الشركات إلى الكيانات العسكرية والدبلوماسية. لاحظ باحثو الأمن أن المتسللين عملوا لمدة خمسة أيام وقاموا بمزامنة عملياتهم مع المنطقة الزمنية المحلية للضحايا.

يعتمد XDSpy على أدوات البرامج الضارة الأساسية والفعالة

تظهر مجموعة الأدوات التي يستخدمها XDSpy القليل من حيث الوظائف المعقدة ، ولكن هذا لا يعني بأي حال أنها غير فعالة. ناقل الهجوم المفضل للمجموعة هو التصيد بالرمح ، حيث تحمل رسائل البريد الإلكتروني مرفقات مسمومة. عادةً ما تكون هذه أرشيفات مثل ملفات RAR أو ZIP ، ولكنها قد تكون أيضًا ملفات Powerpoint أو LNK. تضمنت بعض رسائل البريد الإلكتروني رابطًا إلى الملف الذي يحمل تهديد البرامج الضارة. تم تقسيم الهجوم نفسه إلى عدة مراحل. يؤدي تشغيل الملف التالف من البريد الإلكتروني إلى تنفيذ برنامج نصي مكلف بتنزيل الحمولة الرئيسية التي تسمى XDDown. بمجرد تثبيته بنجاح ، يمكن لـ XDDown إسقاط وحدات برامج ضارة إضافية وفقًا للأهداف المحددة للقراصنة. الأسماء المعطاة للحمولات الثانوية هي XDREcon و XDList و XDMonitor و XDUpload و XDLoc و XDPass.

ككل ، تضمنت الأدوات التي يستخدمها XDSpy تقنيات مكافحة التحليل مثل تشويش السلسلة وتحميل مكتبة Windows API الديناميكي. كانت أنشطتهم الرئيسية على النظام المخترق هي مراقبة محركات الأقراص القابلة للإزالة ولقطات الشاشة واستخراج البيانات.

الشائع

الأكثر مشاهدة

جار التحميل...