XDSpy

적어도 2011년 이후로 인포섹 커뮤니티의 관심을 피했던 체커 그룹의 활동이 마침내 밝혀졌습니다. 연구원들은 범죄 집단을 XDSpy라고 불렀고 국가가 후원하는 APT(Advanced Persistent Threat)라고 믿고 있습니다. XDSpy의 주요 작전 지역은 동유럽과 발칸 반도이며, 그 대상은 민간 기업에서 정부 조직에 이르기까지 다양합니다.

이 그룹의 작업이 처음으로 결정적으로 감지된 것은 벨로루시 컴퓨터 비상 대응 팀이 당시 이름이 알려지지 않은 해커 집단이 국가 부처에서 데이터를 수집하려고 시도하고 있다는 경고를 발표했을 때였습니다. 벨로루시 외에도 XDSpy는 러시아, 몰도바, 우크라이나, 세르비아 등에 위치한 기업을 표적으로 삼았습니다. 희생자들은 기업에서 군대 및 외교 기관에 이르기까지 상당히 다양한 유형을 보여줍니다. 보안 연구원들은 해커가 5일 근무 방식으로 작업하고 피해자의 현지 시간대로 작업을 동기화한 것을 알아차렸습니다.

XDSpy는 기본적이면서도 효과적인 맬웨어 도구에 의존합니다.

XDSpy에서 사용하는 툴킷은 정교한 기능 측면에서 거의 보여주지 않지만 그것이 효과적이지 않다는 의미는 아닙니다. 그룹에서 선호하는 공격 벡터는 악성 첨부 파일을 포함하는 이메일을 사용하는 스피어 피싱입니다. 일반적으로 RAR 또는 ZIP 파일과 같은 아카이브이지만 Powerpoint 또는 LNK 파일일 수도 있습니다. 일부 이메일에는 맬웨어 위협이 있는 파일에 대한 링크가 포함되어 있습니다. 공격 자체는 여러 단계로 나뉩니다. 이메일에서 손상된 파일을 실행하면 XDDown이라는 기본 페이로드를 다운로드하는 스크립트가 실행됩니다. 성공적으로 설치되면 XDDown은 해커의 특정 목표에 따라 추가 맬웨어 모듈을 삭제할 수 있습니다. 보조 페이로드에 부여된 이름은 XDREcon, XDList, XDMonitor, XDUpload, XDLoc 및 XDPass입니다.

전체적으로 XDSpy에서 사용하는 도구에는 문자열 난독화 및 동적 Windows API 라이브러리 로딩과 같은 분석 방지 기술이 포함되었습니다. 손상된 시스템에서 그들의 주요 활동은 이동식 드라이브, 스크린샷 및 데이터 유출을 모니터링하는 것이었습니다.