XDSpy

Aktivity kontrolní skupiny, která unikla pozornosti komunity infosec nejméně od roku 2011, byly konečně uvedeny na světlo. Vědci nazvali zločinecký kolektiv XDSpy a domnívají se, že se jedná o státem podporovaný APT (Advanced Persistent Threat). Hlavním centrem operací pro XDSpy je východní Evropa a Balkán s cíli od soukromých subjektů po vládní organizace.

Poprvé byly operace skupiny přesvědčivě detekovány, když běloruský tým pro nouzovou reakci na počítač vydal varování, že tehdy nejmenovaný hackerský kolektiv se pokouší sbírat data od ministerstev v zemi. Kromě Běloruska se XDSpy zaměřila na subjekty mimo jiné v Rusku, Moldavsku, na Ukrajině a v Srbsku. Oběti vykazují značné množství různých typů, od korporací po vojenské a diplomatické subjekty. Bezpečnostní vědci si všimli, že hackeři operovali pětidenní pracovní cestou a synchronizovali své operace s místním časovým pásmem obětí.

XDSpy se spoléhá na základní a přesto účinné nástroje pro malware

Sada nástrojů využívaná XDSpy ukazuje málo, pokud jde o sofistikovanou funkčnost, ale to v žádném případě neznamená, že není efektivní. Preferovaným vektorem útoku skupiny je phishing s kopími, přičemž e-maily obsahují otrávené přílohy. Obvykle se jedná o archivy, jako jsou soubory RAR nebo ZIP, ale také by to mohly být soubory Powerpoint nebo LNK. Některé e-maily obsahovaly odkaz na soubor nesoucí malware hrozbu. Samotný útok byl rozdělen do několika fází. Spuštění poškozeného souboru z e-mailu provede skript, jehož úkolem je stáhnout hlavní užitečné zatížení s názvem XDDown. Po úspěšné instalaci může XDDown vypustit další malware moduly v souladu se specifickými cíli hackerů. Názvy sekundárních užitečných dat jsou XDREcon, XDList, XDMonitor, XDUpload, XDLoc a XDPass.

Jako celek nástroje používané XDSpy zahrnovaly anti-analytické techniky, jako je obfusace řetězců a dynamické načítání knihovny Windows API. Jejich hlavní činností na kompromitovaném systému bylo sledovat vyměnitelné disky, snímek obrazovky a exfiltraci dat.