XDSpy

Aktiviteterne i en checker-gruppe, der har undgået infosec-samfundets opmærksomhed siden mindst 2011, er endelig blevet fremhævet. Forskerne kaldte det kriminelle kollektiv XDSpy, og de mener, at det er en statsstøttet APT (Advanced Persistent Threat). Det vigtigste teater for operationer for XDSpy er Østeuropa og Balkan med sine mål lige fra private enheder til offentlige organisationer.

Første gang gruppens operationer blev afsluttet endeligt, da det hviderussiske edb-beredskabsteam udgav en advarsel om, at det daværende navngivne hackerkollektiv forsøgte at indsamle data fra ministerier i landet. Udover Hviderusland har XDSpy blandt andet rettet mod enheder beliggende i Rusland, Moldova, Ukraine og Serbien. Ofrene viser et betydeligt antal forskellige typer, lige fra virksomheder til militære og diplomatiske enheder. Sikkerhedsforskere bemærkede, at hackerne opererede på en fem-dages arbejdsvej og synkroniserede deres operationer med ofrenes lokale tidszone.

XDSpy stole på grundlæggende, men effektive malware-værktøjer

Værktøjssættet, der anvendes af XDSpy, viser lidt med hensyn til sofistikeret funktionalitet, men det betyder på ingen måde, at det ikke er effektivt. Gruppens foretrukne angrebsvektor er spydfishing med e-mails med forgiftede vedhæftede filer. Normalt er disse arkiver såsom RAR- eller ZIP-filer, men de kan også være Powerpoint- eller LNK-filer. Nogle e-mails indeholdt et link til filen med malware-truslen. Selve angrebet var opdelt i flere faser. Kørsel af den beskadigede fil fra e-mailen udfører et script, der har til opgave at downloade den vigtigste nyttelast kaldet XDDown. Når det er installeret med succes, kan XDDown droppe yderligere malware-moduler i overensstemmelse med hackernes specifikke mål. Navnene til de sekundære nyttelast er XDREcon, XDList, XDMonitor, XDUpload, XDLoc og XDPass.

Som helhed inkluderede de værktøjer, der blev brugt af XDSpy, anti-analyseteknikker såsom streng-tilsløring og dynamisk Windows API-biblioteksindlæsning. Deres hovedaktiviteter på det kompromitterede system var at overvåge flytbare drev, skærmbillede og dataeksfiltrering.