XDSpy

Konačno su na vidjelo izašle aktivnosti kontrolne skupine koja je izbjegavala pažnju zajednice infosec od najmanje 2011. godine. Istraživači su kriminalni kolektiv nazvali XDSpy i vjeruju da je riječ o APT-u (Advanced Persistent Threat) koji financira država. Glavno kazalište operacija za XDSpy je istočna Europa i Balkan, a ciljevi mu se kreću od privatnih entiteta do vladinih organizacija.

Prvi put su operacije grupe otkrivene definitivno kada je bjeloruski tim za računalno odgovor na hitne slučajeve objavio upozorenje da tada neimenovani hakerski kolektiv pokušava prikupiti podatke od ministarstava u zemlji. Osim Bjelorusije, XDSpy je ciljao i subjekte smještene u Rusiji, Moldaviji, Ukrajini i Srbiji, između ostalih. Žrtve pokazuju znatan broj različitih vrsta, od korporacija do vojnih i diplomatskih entiteta. Istraživači sigurnosti primijetili su da su hakeri djelovali na petodnevni radni način i sinkronizirali svoje operacije s lokalnom vremenskom zonom žrtava.

XDSpy Oslonite se na osnovne, a učinkovite alate za zlonamjerni softver

Komplet alata koji koristi XDSpy pokazuje malo u pogledu sofisticirane funkcionalnosti, ali to ni na koji način ne znači da nije učinkovit. Poželjni vektor napada grupe je podvodno krađa identiteta s e-mailom s otrovnim dodacima. To su obično arhive poput RAR ili ZIP datoteka, ali to mogu biti i Powerpoint ili LNK datoteke. Neke su e-adrese sadržavale vezu do datoteke koja sadrži prijetnju zlonamjernim softverom. Sam napad bio je podijeljen u više faza. Pokretanjem oštećene datoteke iz e-pošte izvršava se skripta zadužena za preuzimanje glavnog korisnog tereta nazvanog XDDown. Nakon što se uspješno instalira, XDDown može ispustiti dodatne module malware-a u skladu sa specifičnim ciljevima hakera. Imena sekundarnih korisnih tereta su XDREcon, XDList, XDMonitor, XDUpload, XDLoc i XDPass.

U cjelini, alati koje koristi XDSpy uključivali su tehnike anti-analize kao što su zamagljivanje nizova i dinamičko učitavanje knjižnice Windows API-ja. Njihove glavne aktivnosti na ugroženom sustavu bile su nadgledanje prijenosnih pogona, snimka zaslona i eksfiltracija podataka.