Licence za više uređaja (količinski popusti)

Promjena regije

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Italiano Nederlands Polski Português Suomi
Threat Database Spyware XDDown

XDDown

Do GoldSparrow. Spyware. godine
Prevedi na:
Hrvatski

XDDown naziv je glavnom alatu za zlonamjerni softver koji je u prijetećim kampanjama primijenio XDSpy, hakerska skupina koja je klasificirana kao Napredna uporna prijetnja (ATP) i koju možda sponzorira država. Hakeri su do sada usredotočili svoje kriminalne aktivnosti na regiju Istočne Europe i Balkana. Pogođeni entiteti otkriveni su u Bjelorusiji, Rusiji, Moldaviji, Srbiji i Ukrajini.

Vektor napada koji se koristi za distribuciju XDDowna, a zapravo je jedina metoda napada koja je pripisana XDSpy-u podvodno krađa identiteta. Tekst e-pošte redovito se ažurira i iskorištava trenutne događaje poput pandemije COVID-19. Otrovani prilozi također su se brzo promijenili. XDSpy je upotrijebio ZIP i RAR arhive za prijenos prijeteće PowerPoint ili LNK datoteke. U nekim slučajevima e-adrese nisu imale priložene datoteke, ali su sadržavale izravnu vezu za preuzimanje.

Ako nesuđeni korisnik izvrši datoteku u arhivi, pokreće oštećenu skriptu. Do sada su uočene dvije različite skripte, ali krajnji cilj im je jedan te isti - spustiti XDDown na ugroženom stroju na čvrsto kodirano mjesto u% APPDATA% \ WINinit \ WINlogon.exe.

XDDown je jednostavan, ali učinkovit program za preuzimanje

XDDown je možda glavni alat za zlonamjerni softver u arsenalu XDSpy -a, ali sam po sebi prijetnja predstavlja prilično osnovni program za preuzimanje. Njegova je jedina svrha biti odgovoran za isporuku šest drugih XDSpy-ovih modula zlonamjernog softvera, a on nema nikakvu drugu funkcionalnost. Postojanost se postiže iskorištavanjem ključa za pokretanje registra Windows-a kroz naredbu HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Primijećeno je da su dvije verzije XDDowna aktivne u divljini - 32-bitna i 64-bitna verzija.

Da bi isporučio ostatak oštećenih modula, XDDown uspostavlja vezu s infrastrukturom Command-and-Control dostavljanjem redovitih GET zahtjeva. Za preuzimanje svih šest modula potrebna su tri odvojena GET zahtjeva. Moduli nisu postojani i moraju se ponovno učitati svaki put kad se ugroženi korisnik prijavi. Imena koja su im dodijelili istraživači su XDRecon, XDList, XDMonitor, XDUpload, XDLoc i XDPass, a svi su u obliku Windows DLL datoteka.

Iako većina modernih hakerskih grupa APT ide na put složenijim okvirima zlonamjernog softvera koji uključuju brojne backdoor naredbe, XDSpy se i dalje oslanja na relativno nesofisticirane alate.

U trendu

Nagledanije

Učitavam...