XDSpy
Finalmente sono state riportate alla luce le attività di un gruppo di checker che ha eluso l'attenzione della community di infosec almeno dal 2011. I ricercatori hanno chiamato il collettivo criminale XDSpy e credono che si tratti di un APT (Advanced Persistent Threat) sponsorizzato dallo stato. Il teatro principale delle operazioni per XDSpy è l'Europa orientale e i Balcani, con i suoi obiettivi che vanno da enti privati a organizzazioni governative.
La prima volta che le operazioni del gruppo sono state rilevate in modo definitivo è stato quando il team bielorusso di pronto intervento informatico ha rilasciato un avvertimento che l'allora anonimo collettivo di hacker stava tentando di raccogliere dati dai ministeri del paese. Oltre alla Bielorussia, XDSpy ha preso di mira entità situate in Russia, Moldavia, Ucraina e Serbia, tra gli altri. Le vittime mostrano un numero considerevole di tipologie diverse, che vanno dalle corporazioni alle entità militari e diplomatiche. I ricercatori della sicurezza hanno notato che gli hacker operavano con una modalità lavorativa di cinque giorni e sincronizzavano le loro operazioni con il fuso orario locale delle vittime.
XDSpy si affida a strumenti malware di base ma efficaci
Il toolkit impiegato da XDSpy mostra poco in termini di funzionalità sofisticate, ma ciò non significa in alcun modo che non sia efficace. Il vettore di attacco preferito del gruppo è lo spear-phishing, con e-mail contenenti allegati avvelenati. Di solito si tratta di archivi come file RAR o ZIP, ma potrebbero anche essere file Powerpoint o LNK. Alcune e-mail includevano un collegamento al file contenente la minaccia malware. L'attacco stesso è stato suddiviso in più fasi. L'esecuzione del file danneggiato dall'e-mail esegue uno script incaricato del download del payload principale chiamato XDDown. Una volta installato correttamente, XDDown può eliminare moduli malware aggiuntivi in base agli obiettivi specifici degli hacker. I nomi dati ai payload secondari sono XDREcon, XDList, XDMonitor, XDUpload, XDLoc e XDPass.
Nel complesso, gli strumenti utilizzati da XDSpy includevano tecniche anti-analisi come l'offuscamento delle stringhe e il caricamento dinamico della libreria API di Windows. Le loro attività principali sul sistema compromesso erano il monitoraggio di unità rimovibili, screenshot ed esfiltrazione di dati.
