XDDown

XDDown è il nome dato al principale strumento di malware utilizzato in campagne minacciose da XDSpy, un gruppo di hacker classificato come Advanced Persistent Threat (ATP) ed è probabilmente sponsorizzato dallo stato. Gli hacker finora hanno concentrato le loro attività criminali nella regione dell'Europa orientale e nei Balcani. Le entità interessate sono state rilevate in Bielorussia, Russia, Moldova, Serbia e Ucraina.

Il vettore di attacco utilizzato per la distribuzione di XDDown e, infatti, l'unico metodo di attacco che è stato attribuito a XDSpy è lo spear-phishing. Il testo delle e-mail viene aggiornato regolarmente e sfrutta gli eventi attuali come la pandemia COVID-19. Anche gli attaccamenti avvelenati hanno subito un rapido cambiamento. XDSpy ha utilizzato archivi ZIP e RAR per trasportare un minaccioso file PowerPoint o LNK. In alcuni casi, le e-mail non avevano file allegati ma contenevano un collegamento per il download diretto.

Se l'utente ignaro esegue il file nell'archivio, avvia uno script danneggiato. Finora sono stati osservati due script distinti, ma il loro obiettivo finale è lo stesso: rilasciare XDDown sulla macchina compromessa in una posizione hardcoded in% APPDATA% \ WINinit \ WINlogon.exe.

XDDown è un downloader semplice ma efficace

XDDown può essere il principale strumento di malware nell'arsenale di XDSpy , ma, di per sé, la minaccia rappresenta un downloader piuttosto semplice. Il suo unico scopo è essere responsabile della consegna di altri sei moduli malware di XDSpy e non ha altre funzionalità. La persistenza si ottiene sfruttando una chiave Run del registro di Windows tramite il comando HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . È stato osservato che due versioni di XDDown sono attive in natura: una versione a 32 bit e una a 64 bit.

Per fornire il resto dei moduli danneggiati, XDDown stabilisce una connessione con l'infrastruttura Command-and-Control effettuando richieste GET regolari. Per il download di tutti e sei i moduli, sono necessarie tre richieste GET separate. I moduli non hanno persistenza e devono essere scaricati nuovamente ogni volta che l'utente compromesso accede. I nomi assegnati loro dai ricercatori sono XDRecon, XDList, XDMonitor, XDUpload, XDLoc e XDPass e sono tutti sotto forma di file DLL di Windows.

Mentre la maggior parte dei gruppi di hacker APT moderni sta intralciando framework malware più complessi che includono numerosi comandi backdoor, XDSpy fa ancora affidamento su strumenti relativamente poco sofisticati.