XDSpy

Végre napvilágra került egy ellenőrző csoport tevékenysége, amely legalább 2011 óta elkerülte az infosec közösség figyelmét. A kutatók a bűnözői csoportot XDSpy-nek hívták, és úgy vélik, hogy ez egy államilag támogatott APT (Advanced Persistent Threat). Az XDSpy fő tevékenységi területe Kelet-Európa és a Balkán, célpontjai a magánszektortól a kormányzati szervezetekig terjednek.

A csoport működését először akkor észlelték véglegesen, amikor a belarusz számítógépes segélyhívó csoport figyelmeztetést adott ki, miszerint az akkor még meg nem nevezett hackerkollektíva adatokat próbál gyűjteni az ország minisztériumaitól. A Fehéroroszországon kívül az XDSpy többek között Oroszországban, Moldovában, Ukrajnában és Szerbiában működő entitásokat célozta meg. Az áldozatok jelentős számú különböző típust mutatnak be, a vállalatoktól a katonai és diplomáciai szervezetekig. A biztonsági kutatók észrevették, hogy a hackerek ötnapos munkaidőben működtek, és működésüket az áldozatok helyi időzónájához igazították.

Az XDSpy támaszkodjon alapvető, de hatékony kártevőeszközökre

Az XDSpy által használt eszközkészlet keveset mutat a kifinomult funkcionalitás tekintetében, de ez semmiképpen sem jelenti azt, hogy nem hatékony. A csoport preferált támadási vektora az adathalászat, az e-mailek mérgezett mellékleteket tartalmaznak. Általában ezek archívumok, például RAR vagy ZIP fájlok, de lehetnek Powerpoint vagy LNK fájlok is. Egyes e-mailek tartalmaztak egy hivatkozást a rosszindulatú programokat hordozó fájlra. Maga a támadás több szakaszra oszlott. A sérült fájl futtatása az e-mailből végrehajt egy parancsfájlt, amelynek feladata a fő hasznos adat letöltése, az XDDown. Sikeres telepítése után az XDDown további kártevő modulokat dobhat ki a hackerek konkrét céljainak megfelelően. A másodlagos hasznos terhelések neve XDREcon, XDList, XDMonitor, XDUpload, XDLoc és XDPass.

Összességében az XDSpy által használt eszközök között szerepeltek olyan anti-analízis technikák, mint a karakterláncok elhomályosítása és a dinamikus Windows API könyvtárbetöltés. Fő tevékenységük a feltört rendszeren a cserélhető meghajtók, a képernyőképek és az adatok kiszűrése volt.