XDSpy
कम्तिमा 2011 देखि इन्फोसेक समुदायको ध्यान नदेखेको जाँचकर्ता समूहका गतिविधिहरू अन्ततः प्रकाशमा ल्याइयो। अन्वेषकहरूले आपराधिक सामूहिक XDSpy भनिन्, र तिनीहरू विश्वास गर्छन् कि यो राज्य-प्रायोजित APT (उन्नत निरन्तर खतरा) हो। XDSpy को लागि सञ्चालनको मुख्य थियेटर पूर्वी युरोप र बाल्कन हो, जसको लक्ष्य निजी संस्थादेखि सरकारी संस्थाहरू सम्मका छन्।
पहिलो पटक समूहको कार्यहरू निर्णायक रूपमा पत्ता लगाइएको थियो जब बेलारुसी कम्प्युटर आपतकालीन प्रतिक्रिया टोलीले चेतावनी जारी गर्यो कि तत्कालीन अज्ञात ह्याकर सामूहिकले देशका मन्त्रालयहरूबाट डाटा सङ्कलन गर्ने प्रयास गरिरहेको थियो। बेलारुस बाहेक, XDSpy ले रूस, मोल्डोभा, युक्रेन र सर्बियामा रहेका संस्थाहरूलाई लक्षित गरेको छ। पीडितहरूले कर्पोरेसनदेखि सैन्य र कूटनीतिक संस्थाहरू सम्मका विभिन्न प्रकारको पर्याप्त संख्या देखाउँछन्। सुरक्षा अन्वेषकहरूले याद गरे कि ह्याकरहरूले पाँच-दिनको कार्य मार्गमा सञ्चालन गरे र पीडितहरूको स्थानीय समय-क्षेत्रमा तिनीहरूको कार्यहरू समक्रमण गरे।
XDSpy आधारभूत अझै प्रभावकारी मालवेयर उपकरणहरूमा भरोसा गर्नुहोस्
XDSpy द्वारा नियोजित टूलकिटले परिष्कृत कार्यक्षमताको सन्दर्भमा थोरै देखाउँदछ, तर यसको मतलब यो प्रभावकारी छैन। समूहको रुचाइएको आक्रमण भेक्टर भाला-फिसिङ हो, इमेलहरू विषाक्त संलग्नकहरू बोक्न। सामान्यतया, ती RAR वा ZIP फाइलहरू जस्ता अभिलेखहरू हुन्, तर तिनीहरू पावरपोइन्ट वा LNK फाइलहरू पनि हुन सक्छन्। केही इमेलहरूले मालवेयर खतरा बोक्ने फाइलको लिङ्क समावेश गर्दछ। आक्रमण आफैंमा धेरै चरणहरूमा विभाजित थियो। इमेलबाट दूषित फाइल चलाउँदा XDDown भनिने मुख्य पेलोडको डाउनलोडसँग टास्क गरिएको स्क्रिप्ट कार्यान्वयन हुन्छ। एकपटक यो सफलतापूर्वक स्थापना भएपछि, XDDown ले ह्याकरहरूको विशेष लक्ष्य अनुसार अतिरिक्त मालवेयर मोड्युलहरू छोड्न सक्छ। माध्यमिक पेलोडहरूलाई दिइएको नामहरू XDREcon, XDList, XDMonitor, XDUpload, XDLoc र XDPass हुन्।
समग्रमा, XDSpy द्वारा प्रयोग गरिएका उपकरणहरूमा एन्टि-विश्लेषण प्रविधिहरू जस्तै स्ट्रिङ ओफसकेसन र डायनामिक विन्डोज एपीआई लाइब्रेरी लोडिङ समावेश थियो। सम्झौता प्रणालीमा तिनीहरूको मुख्य गतिविधिहरू हटाउन योग्य ड्राइभहरू, स्क्रिनसट र डाटा एक्सफिल्ट्रेसन निगरानी गर्नु थियो।
