XDDown
XDDown on nimi tärkeimmälle haittaohjelmatyökalulle, jonka XDSpy on hakkeriryhmä, joka on luokiteltu edistyneeksi pysyväksi uhaksi (ATP) ja mahdollisesti valtion tukema uhkaavissa kampanjoissa. Hakkerit ovat toistaiseksi keskittäneet rikollisen toimintansa Itä-Euroopan alueelle ja Balkanille. Vaikuttavia yksiköitä on havaittu Valko-Venäjällä, Venäjällä, Moldovassa, Serbiassa ja Ukrainassa.
XDDownin jakeluun käytetty hyökkäysvektori, ja itse asiassa ainoa XDSpy: lle osoitettu hyökkäysmenetelmä on keihäänpyynti. Sähköpostiviestien teksti päivitetään säännöllisesti, ja siinä hyödynnetään ajankohtaisia tapahtumia, kuten COVID-19-pandemia. Myös myrkytetyt liitetiedostot ovat muuttuneet nopeasti. XDSpy on käyttänyt ZIP- ja RAR-arkistoja uhkaavan PowerPoint- tai LNK-tiedoston kuljettamiseen. Joissakin tapauksissa sähköposteihin ei liittynyt tiedostoja, mutta ne sisälsivät suoran latauslinkin.
Jos epäilevä käyttäjä suorittaa tiedoston arkistossa, se käynnistää vioittuneen komentosarjan. Toistaiseksi on havaittu kaksi erillistä komentosarjaa, mutta niiden lopullinen tavoite on yksi ja sama - pudottaa XDDown vaarantuneelle koneelle kovakoodatulle paikalle osoitteessa% APPDATA% \ WINinit \ WINlogon.exe.
XDDown on yksinkertainen mutta tehokas latausohjelma
XDDown voi olla tärkein haittaohjelmatyökalu XDSpy : n arsenaalissa, mutta uhka itsessään on melko yksinkertainen latausohjelma. Sen ainoa tarkoitus on olla vastuussa kuuden muun XDSpy-haittaohjelmamoduulin toimittamisesta, eikä sillä ole muita toimintoja. Pysyvyys saavutetaan hyödyntämällä Windowsin rekisterin Suorita-avainta komennolla HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Kaksi versiota XDDownista on havaittu olevan aktiivisia luonnossa - 32- ja 64-bittiset.
Toimittamaan loput vioittuneista moduuleista XDDown muodostaa yhteyden Command-and-Control-infrastruktuuriin tekemällä säännöllisiä GET-pyyntöjä. Kaikkien kuuden moduulin lataamiseen vaaditaan kolme erillistä GET-pyyntöä. Moduuleilla ei ole pysyvyyttä, ja ne on ladattava uudelleen aina, kun vaarantunut käyttäjä kirjautuu sisään. Tutkijoiden niille antamat nimet ovat XDRecon, XDList, XDMonitor, XDUpload, XDLoc ja XDPass, ja ne kaikki ovat Windows DLL -tiedostojen muodossa.
Vaikka suurin osa nykyaikaisista APT-hakkereista on menossa monimutkaisemmille haittaohjelmakehyksille, jotka sisältävät lukuisia takaoven komentoja, XDSpy luottaa edelleen suhteellisen monimutkaisiin työkaluihin.
