XDSpy

Les activitats d'un grup de verificació que ha eludit l'atenció de la comunitat d'infosec des del 2011, com a mínim, han sortit a la llum. Els investigadors van anomenar el col·lectiu criminal XDSpy i creuen que es tracta d'un APT (amenaça persistent avançada) patrocinat per l'estat. El principal escenari d'operacions d'XDSpy és Europa de l'Est i els Balcans, amb els seus objectius que van des d'entitats privades fins a organitzacions governamentals.

La primera vegada que les operacions del grup es van detectar de manera concloent va ser quan l'equip de resposta d'emergència informàtica bielorús va publicar una advertència que el col·lectiu de pirates informàtics sense nom aleshores intentava recollir dades dels ministeris del país. A més de Bielorússia, XDSpy s'ha dirigit a entitats ubicades a Rússia, Moldàvia, Ucraïna i Sèrbia, entre d'altres. Les víctimes presenten un nombre considerable de tipus diferents, que van des de corporacions fins a entitats militars i diplomàtiques. Els investigadors de seguretat van adonar-se que els pirates informàtics operaven de manera de treball de cinc dies i sincronitzaven les seves operacions amb la zona horària local de les víctimes.

XDSpy confia en eines de programari maliciós bàsiques però efectives

El conjunt d'eines emprat per XDSpy mostra poc en termes de funcionalitat sofisticada, però això de cap manera significa que no sigui efectiu. El vector d'atac preferit del grup és el spear-phishing, amb correus electrònics que porten fitxers adjunts enverinats. Normalment, són arxius com ara fitxers RAR o ZIP, però també podrien ser fitxers Powerpoint o LNK. Alguns correus electrònics incloïen un enllaç al fitxer que portava l'amenaça de programari maliciós. L'atac en si es va dividir en diverses etapes. L'execució del fitxer danyat des del correu electrònic executa un script encarregat de la descàrrega de la càrrega útil principal anomenada XDDown. Un cop s'ha instal·lat correctament, XDDown pot eliminar mòduls de programari maliciós addicionals d'acord amb els objectius específics dels pirates informàtics. Els noms donats a les càrregues útils secundàries són XDREcon, XDList, XDMonitor, XDUpload, XDLoc i XDPass.

En conjunt, les eines utilitzades per XDSpy incloïen tècniques antianàlisi com ara l'ofuscament de cadenes i la càrrega dinàmica de la biblioteca de l'API de Windows. Les seves activitats principals al sistema compromès eren controlar les unitats extraïbles, les captures de pantalla i l'exfiltració de dades.

Tendència

Més vist

Carregant...