XDSpy

Aktivitetene til en brikkegruppe som har unngått infosec-fellesskapets oppmerksomhet siden minst 2011, har endelig blitt brakt frem i lyset. Forskerne kalte det kriminelle kollektivet XDSpy, og de mener at det er en statsstøttet APT (Advanced Persistent Threat). Det viktigste operasjonsområdet for XDSpy er Øst-Europa og Balkan, med mål som spenner fra private enheter til offentlige organisasjoner.

Den første gangen gruppens operasjoner ble oppdaget definitivt var da det hviterussiske databeredskapsteamet ga ut en advarsel om at det da ikke navngitte hackerkollektivet forsøkte å samle inn data fra departementer i landet. Foruten Hviterussland har XDSpy målrettet mot enheter lokalisert i blant annet Russland, Moldova, Ukraina og Serbia. Ofrene viser et betydelig antall forskjellige typer, alt fra selskaper til militære og diplomatiske enheter. Sikkerhetsforskere la merke til at hackerne opererte på en femdagers arbeidsmåte og synkroniserte operasjonene til ofrenes lokale tidssone.

XDSpy Stol på grunnleggende, men effektive verktøy for skadelig programvare

Verktøysettet brukt av XDSpy viser lite når det gjelder sofistikert funksjonalitet, men det betyr på ingen måte at det ikke er effektivt. Gruppens foretrukne angrepsvektor er spyd-phishing, med e-poster med forgiftede vedlegg. Vanligvis er det arkiver som RAR- eller ZIP-filer, men de kan også være Powerpoint- eller LNK-filer. Noen e-poster inkluderte en lenke til filen som inneholder skadelig programvare. Selve angrepet ble delt inn i flere stadier. Å kjøre den ødelagte filen fra e-posten kjører et skript som har i oppgave å laste ned hovednyttelasten kalt XDDown. Når den er installert vellykket, kan XDDown slippe ytterligere skadevaremoduler i samsvar med de spesifikke målene til hackerne. Navnene som er gitt til de sekundære nyttelastene er XDREcon, XDList, XDMonitor, XDUpload, XDLoc og XDPass.

Som helhet inkluderte verktøyene som ble brukt av XDSpy antianalyseteknikker som strengobfuskering og dynamisk Windows API-bibliotekinnlasting. Hovedaktivitetene deres på det kompromitterte systemet var å overvåke flyttbare stasjoner, skjermbilder og dataeksfiltrering.