Licenties voor meerdere apparaten (volumekortingen)
Threat Database Advanced Persistent Threat (APT) XDSpy

XDSpy

Tegen GoldSparrow in Advanced Persistent Threat (APT)
Vertalen naar:
Nederlands

De activiteiten van een checker-groep die sinds minstens 2011 de aandacht van de infosec-gemeenschap is ontgaan, zijn eindelijk aan het licht gekomen. De onderzoekers noemden het criminele collectief XDSpy en geloven dat het een door de staat gesponsorde APT (Advanced Persistent Threat) is. Het belangrijkste operatiegebied voor XDSpy is Oost-Europa en de Balkan, met doelen die variëren van particuliere entiteiten tot overheidsorganisaties.

De eerste keer dat de operaties van de groep definitief werden ontdekt, was toen het Wit-Russische computerbestrijdingsteam een waarschuwing uitbracht dat het toen nog niet bij naam genoemde hackercollectief gegevens probeerde te verzamelen van ministeries in het land. Naast Wit-Rusland heeft XDSpy zich gericht op entiteiten in onder meer Rusland, Moldavië, Oekraïne en Servië. De slachtoffers vertonen een aanzienlijk aantal verschillende soorten, variërend van bedrijven tot militaire en diplomatieke entiteiten. Beveiligingsonderzoekers merkten op dat de hackers vijf dagen werkten en hun operaties synchroniseerden met de lokale tijdzone van de slachtoffers.

XDSpy Vertrouw op eenvoudige maar effectieve malwaretools

De toolkit die XDSpy gebruikt, laat weinig zien in termen van geavanceerde functionaliteit, maar dat betekent geenszins dat het niet effectief is. De favoriete aanvalsvector van de groep is spear-phishing, met e-mails met vergiftigde bijlagen. Meestal zijn dat archieven zoals RAR- of ZIP-bestanden, maar het kunnen ook Powerpoint- of LNK-bestanden zijn. Sommige e-mails bevatten een link naar het bestand met de malwarebedreiging. De aanval zelf was opgedeeld in meerdere fasen. Als u het beschadigde bestand vanuit de e-mail uitvoert, wordt een script uitgevoerd dat is belast met het downloaden van de hoofdpayload genaamd XDDown. Zodra het met succes is geïnstalleerd, kan XDDown extra malwaremodules laten vallen in overeenstemming met de specifieke doelen van de hackers. De namen die aan de secundaire payloads worden gegeven, zijn XDREcon, XDList, XDMonitor, XDUpload, XDLoc en XDPass.

Over het geheel genomen omvatten de tools die door XDSpy werden gebruikt anti-analysetechnieken zoals string-obfuscation en het dynamisch laden van Windows API-bibliotheken. Hun belangrijkste activiteiten op het gecompromitteerde systeem waren het monitoren van verwisselbare schijven, schermafbeeldingen en gegevensonderschepping.

Trending

Meest bekeken

Bezig met laden...