XDDown
XDDown to nazwa nadana głównemu narzędziu złośliwemu wdrażanemu w kampaniach zagrażających XDSpy, grupie hakerów, która została sklasyfikowana jako Advanced Persistent Threat (ATP) i prawdopodobnie jest sponsorowana przez państwo. Do tej pory hakerzy skupiali swoją działalność przestępczą w regionie Europy Wschodniej i na Bałkanach. Podmioty, których to dotyczy, wykryto na Białorusi, w Rosji, Mołdawii, Serbii i na Ukrainie.
Wektor ataku używany do dystrybucji XDDown i właściwie jedyną metodą ataku przypisaną XDSpy jest spear-phishing. Treść e-maili jest regularnie aktualizowana i wykorzystuje aktualne wydarzenia, takie jak pandemia COVID-19. Zatrute przywiązania również uległy szybkiej zmianie. XDSpy używa archiwów ZIP i RAR do przenoszenia groźnego pliku PowerPoint lub LNK. W niektórych przypadkach e-maile nie miały załączonych plików, ale zawierały bezpośredni link do pobrania.
Jeśli niczego niepodejrzewający użytkownik uruchomi plik z archiwum, zainicjuje uszkodzony skrypt. Do tej pory zaobserwowano dwa odrębne skrypty, ale ich cel końcowy jest jeden i ten sam - upuścić XDDown na zaatakowanej maszynie do zakodowanej na stałe lokalizacji w% APPDATA% \ WINinit \ WINlogon.exe.
XDDown to prosty, ale skuteczny program do pobierania
XDDown może być głównym narzędziem złośliwego oprogramowania w arsenale XDSpy , ale samo w sobie zagrożenie stanowi raczej podstawowy program do pobierania. Jego jedynym celem jest odpowiadanie za dostarczenie sześciu innych modułów złośliwego oprogramowania XDSpy i nie ma żadnych innych funkcji. Trwałość osiąga się poprzez wykorzystanie klucza Run rejestru systemu Windows za pomocą polecenia HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . Zaobserwowano, że na wolności działają dwie wersje XDDown - wersja 32-bitowa i wersja 64-bitowa.
Aby dostarczyć resztę uszkodzonych modułów, XDDown nawiązuje połączenie z infrastrukturą Command-and-Control, wysyłając regularne żądania GET. Do pobrania wszystkich sześciu modułów wymagane są trzy oddzielne żądania GET. Moduły nie są trwałe i muszą być ponownie pobierane za każdym razem, gdy zaloguje się zagrożony użytkownik. Nazwy przypisane im przez badaczy to XDRecon, XDList, XDMonitor, XDUpload, XDLoc i XDPass, a wszystkie mają postać plików DLL systemu Windows.
Podczas gdy większość współczesnych grup hakerów APT zmierza w kierunku bardziej złożonych struktur złośliwego oprogramowania, które zawierają liczne polecenia backdoora, XDSpy nadal polega na stosunkowo nieskomplikowanych narzędziach.
