XDDown
XDDown is de naam die wordt gegeven aan de belangrijkste malwaretool die wordt ingezet in bedreigende campagnes door XDSpy, een hackergroep die is geclassificeerd als een Advanced Persistent Threat (ATP) en mogelijk door de staat wordt gesponsord. De hackers hebben tot dusver hun criminele activiteiten geconcentreerd in de regio Oost-Europa en de Balkan. Er zijn getroffen entiteiten gedetecteerd in Wit-Rusland, Rusland, Moldavië, Servië en Oekraïne.
De aanvalsvector die wordt gebruikt voor de distributie van XDDown, en in feite de enige aanvalsmethode die aan XDSpy is toegeschreven, is spear-phishing. De tekst van de e-mails wordt regelmatig bijgewerkt en maakt gebruik van actuele gebeurtenissen zoals de COVID-19-pandemie. De vergiftigde bijlagen hebben ook een snelle verandering ondergaan. XDSpy heeft ZIP- en RAR-archieven gebruikt om een bedreigend PowerPoint- of LNK-bestand te dragen. In sommige gevallen hadden de e-mails geen bijgevoegde bestanden, maar bevatten ze een directe downloadlink.
Als de nietsvermoedende gebruiker het bestand in het archief uitvoert, start het een beschadigd script. Tot nu toe zijn er twee verschillende scripts waargenomen, maar hun einddoel is hetzelfde: XDDown op de gecompromitteerde machine neerzetten op een hardgecodeerde locatie op% APPDATA% \ WINinit \ WINlogon.exe.
XDDown is een eenvoudige maar effectieve downloader
XDDown is misschien wel de belangrijkste malwaretool in het arsenaal van XDSpy , maar op zichzelf vertegenwoordigt de dreiging een vrij eenvoudige downloader. Het enige doel is om verantwoordelijk te zijn voor de levering van zes andere XDSpy's malwaremodules en het heeft geen andere functionaliteit. Persistentie wordt bereikt door gebruik te maken van een Windows-register Run-sleutel via de opdracht HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Er is waargenomen dat twee versies van XDDown actief zijn in het wild: een 32-bits en een 64-bits versie.
Om de rest van de beschadigde modules af te leveren, brengt XDDown een verbinding tot stand met de Command-and-Control-infrastructuur door regelmatig GET-verzoeken te doen. Voor het downloaden van alle zes de modules zijn drie afzonderlijke GET-verzoeken vereist. De modules hebben geen persistentie en moeten elke keer dat de gecompromitteerde gebruiker inlogt opnieuw worden gedownload. De namen die aan hen zijn toegewezen door onderzoekers zijn XDRecon, XDList, XDMonitor, XDUpload, XDLoc en XDPass, en ze hebben allemaal de vorm van Windows DLL-bestanden.
Terwijl de meeste moderne APT-hackergroepen in de weg staan van complexere malwareframeworks die talloze achterdeuropdrachten bevatten, vertrouwt XDSpy nog steeds op relatief eenvoudige tools.
