XDSpy

Aktiviti kumpulan pemeriksa yang terlepas daripada perhatian komuniti infosec sejak sekurang-kurangnya 2011 telah didedahkan akhirnya. Para penyelidik memanggil kolektif jenayah XDSpy, dan mereka percaya bahawa ia adalah APT yang ditaja oleh kerajaan (Advanced Persistent Threat). Teater utama operasi untuk XDSpy ialah Eropah Timur dan Balkan, dengan sasarannya terdiri daripada entiti swasta hingga organisasi kerajaan.

Kali pertama operasi kumpulan itu dikesan secara muktamad adalah apabila pasukan tindak balas kecemasan komputer Belarusia mengeluarkan amaran bahawa kumpulan penggodam yang tidak dinamakan ketika itu cuba mengumpul data daripada kementerian di negara itu. Selain Belarus, XDSpy telah menyasarkan entiti yang terletak di Rusia, Moldova, Ukraine dan Serbia, antara lain. Mangsa menunjukkan sejumlah besar jenis yang berbeza, daripada syarikat kepada entiti tentera dan diplomatik. Penyelidik keselamatan menyedari bahawa penggodam beroperasi dengan cara kerja lima hari dan menyegerakkan operasi mereka ke zon waktu tempatan mangsa.

XDSpy Bergantung pada Alat Malware Asas Namun Berkesan

Kit alat yang digunakan oleh XDSpy menunjukkan sedikit dari segi fungsi yang canggih, tetapi itu sama sekali tidak bermakna ia tidak berkesan. Vektor serangan pilihan kumpulan itu ialah pancingan lembing, dengan e-mel yang membawa lampiran beracun. Biasanya, ia adalah arkib seperti fail RAR atau ZIP, tetapi ia juga boleh menjadi fail Powerpoint atau LNK. Beberapa e-mel menyertakan pautan ke fail yang membawa ancaman perisian hasad. Serangan itu sendiri dibahagikan kepada beberapa peringkat. Menjalankan fail yang rosak daripada e-mel melaksanakan skrip yang ditugaskan untuk memuat turun muatan utama yang dipanggil XDDown. Sebaik sahaja ia berjaya dipasang, XDDown boleh menggugurkan modul perisian hasad tambahan mengikut matlamat khusus penggodam. Nama yang diberikan kepada muatan sekunder ialah XDREcon, XDList, XDMonitor, XDUpload, XDLoc dan XDPass.

Secara keseluruhannya, alatan yang digunakan oleh XDSpy termasuk teknik anti-analisis seperti kekeliruan rentetan dan pemuatan perpustakaan Windows API dinamik. Aktiviti utama mereka pada sistem yang terjejas adalah untuk memantau pemacu boleh tanggal, tangkapan skrin dan exfiltration data.