XDSpy
Дейностите на група за проверка, която убягва от вниманието на общността на infosec поне от 2011 г., най-накрая бяха изведени на бял свят. Изследователите нарекоха престъпния колектив XDSpy и смятат, че той е спонсориран от държавата APT (Advanced Persistent Threat). Основният театър на операциите на XDSpy е Източна Европа и Балканите, като неговите цели варират от частни лица до правителствени организации.
Първият път, когато операциите на групата бяха разкрити окончателно, беше, когато беларуският екип за компютърна спешна реакция пусна предупреждение, че тогава неназованата хакерска група се опитва да събира данни от министерствата в страната. Освен Беларус, XDSpy е насочен към организации, разположени в Русия, Молдова, Украйна и Сърбия, наред с други. Жертвите показват значителен брой различни видове, вариращи от корпорации до военни и дипломатически структури. Изследователите по сигурността забелязаха, че хакерите работят по петдневен работен начин и синхронизират операциите си с местната часова зона на жертвите.
XDSpy Разчитайте на основни, но ефективни инструменти за злонамерен софтуер
Инструментариумът, използван от XDSpy, показва малко по отношение на сложна функционалност, но това по никакъв начин не означава, че не е ефективен. Предпочитаният вектор на атака на групата е spear-phishing, с имейли, носещи отровни прикачени файлове. Обикновено това са архиви като RAR или ZIP файлове, но те също могат да бъдат Powerpoint или LNK файлове. Някои имейли включват връзка към файла, носещ заплахата от зловреден софтуер. Самата атака беше разделена на няколко етапа. Изпълнението на повредения файл от имейла изпълнява скрипт, натоварен с изтеглянето на основния полезен товар, наречен XDDown. След като бъде инсталиран успешно, XDDown може да пусне допълнителни модули за злонамерен софтуер в съответствие със специфичните цели на хакерите. Имената, дадени на вторичните полезни товари са XDREcon, XDList, XDMonitor, XDUpload, XDLoc и XDPass.
Като цяло инструментите, използвани от XDSpy, включват техники за анти-анализ, като обфускация на низове и динамично зареждане на библиотеката на Windows API. Основните им дейности върху компрометираната система бяха да наблюдават сменяеми устройства, екранна снимка и ексфилтрация на данни.
