XDDown
XDDown on nimi, mis on antud peamisele pahavara tööriistale, mille on ähvardavates kampaaniates juurutanud häkkerite rühmitus XDSpy, mis on klassifitseeritud Advanced Persistent Threat (ATP) kategooriasse ja mida võib-olla riiklikult toetada. Häkkerid on siiani oma kuritegevust suunanud Ida-Euroopa ja Balkani piirkonda. Mõjutatud üksusi on avastatud Valgevenes, Venemaal, Moldovas, Serbias ja Ukrainas.
XDDowni levitamiseks kasutatud ründevektor ja tegelikult on ainus XDSpy-le omistatud rünnakumeetod oda-andmepüük. E-kirjade teksti värskendatakse regulaarselt ja see kasutab ära praeguseid sündmusi, näiteks pandeemia COVID-19. Mürgitatud manused on samuti kiiresti muutunud. XDSpy on ähvardava PowerPointi või LNK-faili kandmiseks kasutanud ZIP- ja RAR-arhiive. Mõnel juhul ei olnud meilidel manustatud faile, kuid need sisaldasid otsest allalaadimislingi.
Kui pahaaimamatu kasutaja käivitab faili arhiivis, algatab ta rikutud skripti. Siiani on täheldatud kahte erinevat skripti, kuid nende lõppeesmärk on üks ja sama - visata XDDown rikutud masinasse kõvakoodiga asukohta aadressil% APPDATA% \ WINinit \ WINlogon.exe.
XDDown on lihtne, kuid tõhus allalaadija
XDDown võib olla XDSpy arsenali peamine pahavara tööriist , kuid iseenesest kujutab see oht üsna lihtsat allalaadijat. Selle ainus eesmärk on vastutada kuue teise XDSpy pahavara mooduli tarnimise eest ja sellel pole muid funktsioone. Püsivus saavutatakse Windowsi registri käivitamisvõtme abil käsuga HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Looduses on täheldatud kahte XDDowni versiooni - 32- ja 64-bitist.
Ülejäänud rikutud moodulite kohaletoimetamiseks loob XDDown ühenduse käsu ja juhtimise infrastruktuuriga, tehes regulaarselt GET-päringuid. Kõigi kuue mooduli allalaadimiseks on vaja kolme eraldi GET-päringut. Moodulitel pole püsivust ja need tuleb alla laadida iga kord, kui ohustatud kasutaja sisse logib. Teadlaste neile määratud nimed on XDRecon, XDList, XDMonitor, XDUpload, XDLoc ja XDPass ning need kõik on Windowsi DLL-failidena.
Kui enamik tänapäevaseid APT häkkerirühmi läheb keerulisemate pahavara raamistike poole, mis sisaldavad arvukalt tagaukse käske, loodab XDSpy endiselt suhteliselt keerukatele tööriistadele.
