Mitme seadme litsentsid (mahuallahindlused)
Threat Database Advanced Persistent Threat (APT) XDSpy

XDSpy

Aastaks GoldSparrow aastal Advanced Persistent Threat (APT)
Tõlgi:
Eesti

Lõpuks on päevavalgele tulnud kontrollrühma tegevus, mis on infosekide kogukonna tähelepanu vähemalt 2011. aastast eemale hoidnud. Teadlased kutsusid kuritegelikku kollektiivi XDSpy ja usuvad, et see on riigi toetatud APT (Advanced Persistent Threat). XDSpy peamine operatsiooniteater on Ida-Euroopa ja Balkan, mille sihtmärgid ulatuvad eraettevõtetest valitsusorganisatsioonideni.

Esimest korda avastati rühma operatsioon lõplikult, kui Valgevene arvutite hädaolukorra lahendamise meeskond avaldas hoiatuse, et tollal nimetu häkkerikollektiiv üritas koguda andmeid riigi ministeeriumitest. Lisaks Valgevenele on XDSpy sihtinud üksusi, mis asuvad muu hulgas Venemaal, Moldovas, Ukrainas ja Serbias. Ohvritel on märkimisväärne arv erinevaid tüüpe, alates korporatsioonidest kuni sõjaliste ja diplomaatiliste üksusteni. Turvalisuse uurijad märkasid, et häkkerid tegutsesid viiepäevasel tööl ja sünkroonisid oma tegevuse ohvrite kohaliku ajavööndiga.

XDSpy tugineb siiski veel tõhusatele pahavara tööriistadele

XDSpy kasutatav tööriistakomplekt näitab keeruka funktsionaalsuse osas vähe, kuid see ei tähenda mingil juhul, et see pole tõhus. Rühma eelistatud ründevektor on oda-andmepüük, kusjuures e-kirjad sisaldavad mürgitatud manuseid. Tavaliselt on need arhiivid nagu RAR- või ZIP-failid, kuid need võivad olla ka Powerpointi või LNK-failid. Mõnes kirjas oli link failile, mis kannab pahavaraohtu. Rünnak ise jagunes mitmeks etapiks. Rikutud faili käivitamine e-kirjast käivitab skripti, mille ülesandeks on alla laadida peamine kasulikku koormust nimega XDDown. Kui see on edukalt installitud, võib XDDown vastavalt häkkerite konkreetsetele eesmärkidele loobuda täiendavatest pahavara moodulitest. Teiseste kasulike koormuste nimed on XDREcon, XDList, XDMonitor, XDUpload, XDLoc ja XDPass.

Tervikuna hõlmasid XDSpy kasutatavad tööriistad anti-analüüsimeetodeid, näiteks stringide ähmastamine ja dünaamiline Windows API teegi laadimine. Nende peamine tegevus ohustatud süsteemis oli eemaldatavate draivide, ekraanipiltide ja andmete väljafiltrimise jälgimine.

Trendikas

Enim vaadatud

Laadimine...