XDDown

XDDown je název hlavního malwarového nástroje nasazeného v ohrožujících kampaních skupinou XDSpy, hackerskou skupinou, která je klasifikována jako Advanced Persistent Threat (ATP) a je možná sponzorována státem. Hackeři se dosud zaměřili na svoji trestnou činnost v oblasti východní Evropy a Balkánu. Dotčené subjekty byly zjištěny v Bělorusku, Rusku, Moldavsku, Srbsku a na Ukrajině.

Útočný vektor používaný k distribuci XDDown a ve skutečnosti jedinou metodou útoku, která byla připsána XDSpy, je phishing. Text e-mailů je pravidelně aktualizován a využívá výhod aktuálních událostí, jako je pandemie COVID-19. Otrávené přílohy také prošly rychlou změnou. XDSpy používá archivy ZIP a RAR k přenosu nebezpečného souboru PowerPoint nebo LNK. V některých případech e-maily neobsahovaly žádné připojené soubory, ale obsahovaly přímý odkaz ke stažení.

Pokud nic netušící uživatel provede soubor v archivu, inicializuje poškozený skript. Dosud byly pozorovány dva odlišné skripty, ale jejich konečný cíl je stejný - přetáhnout XDDown na kompromitovaném stroji na pevně zakódované umístění v% APPDATA% \ WINinit \ WINlogon.exe.

XDDown je jednoduchý a přesto efektivní stahovač

XDDown může být hlavním malwarovým nástrojem v arzenálu XDSpy , ale hrozba sama o sobě představuje spíše základní nástroj pro stahování. Jeho jediným účelem je zodpovědnost za dodání šesti dalších malwarových modulů XDSpy a nemá žádné další funkce. Perzistence se dosahuje využitím klíče spuštění registru Windows pomocí příkazu HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Byly pozorovány dvě verze XDDown, které jsou aktivní ve volné přírodě - 32bitová a 64bitová verze.

Chcete-li doručit zbytek poškozených modulů, XDDown naváže spojení s infrastrukturou Command-and-Control pomocí pravidelných požadavků GET. Pro stažení všech šesti modulů jsou vyžadovány tři samostatné požadavky GET. Moduly nemají trvalost a je třeba je znovu stáhnout pokaždé, když se kompromitovaný uživatel přihlásí. Názvy, které jim výzkumníci přidělili, jsou XDRecon, XDList, XDMonitor, XDUpload, XDLoc a XDPass a všechny jsou ve formě souborů DLL systému Windows.

Zatímco většina moderních skupin hackerů APT stojí v cestě složitějším malwarovým frameworkům, které obsahují četné příkazy backdoor, XDSpy se stále spoléhá na relativně nenáročné nástroje.