XDSpy

فعالیت های یک گروه جستجوگر که حداقل از سال 2011 از توجه جامعه infosec دور مانده بود، سرانجام آشکار شد. محققان گروه جنایی را XDSpy نامیدند و معتقدند که این یک APT (تهدید پایدار پیشرفته) با حمایت دولتی است. صحنه اصلی عملیات XDSpy اروپای شرقی و بالکان است که اهداف آن از نهادهای خصوصی گرفته تا سازمان های دولتی را شامل می شود.

اولین باری که عملیات این گروه به طور قطعی شناسایی شد زمانی بود که تیم واکنش اضطراری کامپیوتری بلاروس هشداری را منتشر کرد مبنی بر اینکه گروه هکری که در آن زمان نامش فاش نشده بود در حال تلاش برای جمع‌آوری داده‌ها از وزارتخانه‌های این کشور است. علاوه بر بلاروس، XDSpy نهادهای مستقر در روسیه، مولداوی، اوکراین و صربستان و غیره را هدف قرار داده است. قربانیان تعداد قابل توجهی از انواع مختلف را نشان می دهند، از شرکت ها گرفته تا نهادهای نظامی و دیپلماتیک. محققان امنیتی متوجه شدند که هکرها به روش کاری پنج روزه عمل کرده و عملیات خود را با منطقه زمانی محلی قربانیان هماهنگ کردند.

XDSpy به ابزارهای بدافزار اساسی و در عین حال مؤثر متکی است

جعبه ابزار استفاده شده توسط XDSpy از نظر عملکرد پیچیده کمی نشان می دهد، اما به هیچ وجه به این معنی نیست که موثر نیست. بردار حمله ترجیحی این گروه، فیشینگ نیزه‌ای است که ایمیل‌هایی حاوی پیوست‌های مسموم هستند. معمولاً اینها آرشیوهایی مانند فایل های RAR یا ZIP هستند، اما می توانند فایل های Powerpoint یا LNK نیز باشند. برخی از ایمیل‌ها دارای پیوندی به فایل حاوی تهدید بدافزار بودند. خود حمله به چند مرحله تقسیم شد. اجرای فایل خراب از ایمیل، اسکریپتی را اجرا می کند که وظیفه دانلود بار اصلی به نام XDDown را دارد. هنگامی که XDDown با موفقیت نصب شد، می‌تواند ماژول‌های بدافزار اضافی را مطابق با اهداف خاص هکرها حذف کند. نام های داده شده به محموله های ثانویه عبارتند از XDREcon، XDList، XDMonitor، XDUpload، XDLoc و XDPass.

به طور کلی، ابزارهای مورد استفاده توسط XDSpy شامل تکنیک های ضد تجزیه و تحلیل مانند مبهم سازی رشته و بارگذاری پویا کتابخانه API ویندوز می باشد. فعالیت‌های اصلی آن‌ها در سیستم در معرض خطر، نظارت بر درایوهای قابل جابجایی، اسکرین‌شات و استخراج داده‌ها بود.