Licenser til flere enheder (volumenrabatter)

Skift region

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Spyware XDDown

XDDown

Med GoldSparrow i Spyware
Oversæt til:
Dansk

XDDown er navnet på det vigtigste malware-værktøj, der anvendes i truende kampagner af XDSpy, en hacker-gruppe, der er klassificeret som en ATP (Advanced Persistent Threat) og muligvis er statsstøttet. Hackerne har indtil videre fokuseret deres kriminelle aktiviteter i regionen Østeuropa og Balkan. Berørte enheder er blevet opdaget i Hviderusland, Rusland, Moldova, Serbien og Ukraine.

Angrebsvektoren, der bruges til distribution af XDDown, og faktisk er den eneste angrebsmetode, der er tilskrevet XDSpy, spydfishing. E-mailenes tekst opdateres regelmæssigt og udnytter aktuelle begivenheder såsom COVID-19-pandemien. De forgiftede vedhæftede filer har også gennemgået en hurtig ændring. XDSpy har brugt ZIP- og RAR-arkiver til at bære en truende PowerPoint- eller LNK-fil. I nogle tilfælde havde e-mails ingen vedhæftede filer, men indeholdt et link til direkte download.

Hvis den intetanende bruger udfører filen i arkivet, starter den et beskadiget script. Indtil videre er to forskellige scripts blevet observeret, men deres slutmål er det samme - at droppe XDDown på den kompromitterede maskine til en hardkodet placering på% APPDATA% \ WINinit \ WINlogon.exe.

XDDown er en simpel, men effektiv downloader

XDDown er muligvis det vigtigste malware-værktøj i XDSpys arsenal, men i sig selv repræsenterer truslen en ret grundlæggende downloader. Dets eneste formål er at være ansvarlig for leveringen af seks andre XDSpy's malware-moduler, og den har ingen anden funktionalitet. Persistens opnås ved at udnytte en Windows-registreringsdatabase Kør nøgle via kommandoen HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . To versioner af XDDown har vist sig at være aktive i naturen - en 32-bit og en 64-bit version.

For at levere resten af de beskadigede moduler opretter XDDown en forbindelse til Command-and-Control-infrastrukturen ved at foretage regelmæssige GET-anmodninger. Til download af alle seks af modulerne kræves tre separate GET-anmodninger. Modulerne har ingen vedholdenhed og skal downloades igen, hver gang den kompromitterede bruger logger på. Navnene, som forskerne har fået tildelt dem, er XDRecon, XDList, XDMonitor, XDUpload, XDLoc og XDPass, og de er alle i form af Windows DLL-filer.

Mens de fleste moderne APT-hackergrupper går i vejen for mere komplekse malware-rammer, der inkluderer adskillige bagdørskommandoer, er XDSpy stadig afhængig af relativt usofistikerede værktøjer.

Trending

Mest sete

Indlæser...