XDSpy
कम से कम 2011 के बाद से इन्फोसेक समुदाय का ध्यान हटाने वाले एक चेकर समूह की गतिविधियों को आखिरकार प्रकाश में लाया गया है। शोधकर्ताओं ने आपराधिक सामूहिक XDSpy को बुलाया, और उनका मानना है कि यह एक राज्य प्रायोजित एपीटी (उन्नत स्थायी खतरा) है। XDSpy के संचालन का मुख्य थिएटर पूर्वी यूरोप और बाल्कन है, जिसका लक्ष्य निजी संस्थाओं से लेकर सरकारी संगठनों तक है।
पहली बार समूह के संचालन का निर्णायक रूप से पता चला था जब बेलारूसी कंप्यूटर आपातकालीन प्रतिक्रिया टीम ने एक चेतावनी जारी की थी कि तत्कालीन अनाम हैकर सामूहिक देश में मंत्रालयों से डेटा एकत्र करने का प्रयास कर रहा था। बेलारूस के अलावा, XDSpy ने रूस, मोल्दोवा, यूक्रेन और सर्बिया में स्थित संस्थाओं को लक्षित किया है। पीड़ितों में निगमों से लेकर सैन्य और राजनयिक संस्थाओं तक, काफी संख्या में विभिन्न प्रकार दिखाई देते हैं। सुरक्षा शोधकर्ताओं ने देखा कि हैकर्स ने पांच-दिवसीय कार्य तरीके से काम किया और पीड़ितों के स्थानीय समय-क्षेत्र में अपने संचालन को सिंक्रनाइज़ किया।
XDSpy बुनियादी लेकिन प्रभावी मैलवेयर टूल पर निर्भर करता है
XDSpy द्वारा नियोजित टूलकिट परिष्कृत कार्यक्षमता के मामले में बहुत कम दिखाता है, लेकिन इसका मतलब यह नहीं है कि यह प्रभावी नहीं है। समूह का पसंदीदा अटैक वेक्टर स्पीयर-फ़िशिंग है, जिसमें ज़हरीले अटैचमेंट वाले ईमेल होते हैं। आमतौर पर, वे आरएआर या ज़िप फाइलों जैसे अभिलेखागार होते हैं, लेकिन वे पावरपॉइंट या एलएनके फाइलें भी हो सकते हैं। कुछ ईमेल में मैलवेयर के खतरे वाली फ़ाइल का लिंक शामिल था। हमले को कई चरणों में विभाजित किया गया था। ईमेल से दूषित फ़ाइल को चलाने से XDDdown नामक मुख्य पेलोड को डाउनलोड करने का कार्य सौंपा गया एक स्क्रिप्ट निष्पादित होता है। एक बार यह सफलतापूर्वक स्थापित हो जाने के बाद, XDDown हैकर्स के विशिष्ट लक्ष्यों के अनुसार अतिरिक्त मैलवेयर मॉड्यूल को छोड़ सकता है। सेकेंडरी पेलोड को दिए गए नाम हैं XDREcon, XDList, XDMonitor, XDUpload, XDloc और XDPass।
समग्र रूप से, XDSpy द्वारा उपयोग किए जाने वाले टूल में एंटी-एनालिसिस तकनीक जैसे कि स्ट्रिंग ऑबफस्केशन और डायनेमिक विंडोज एपीआई लाइब्रेरी लोडिंग शामिल है। समझौता किए गए सिस्टम पर उनकी मुख्य गतिविधियां हटाने योग्य ड्राइव, स्क्रीनशॉट और डेटा एक्सफ़िल्टरेशन की निगरानी करना था।
