XDSpy

Działania grupy kontrolerów, która wymykała się uwadze społeczności infosec od co najmniej 2011 roku, zostały wreszcie ujawnione. Naukowcy nazwali kolektyw przestępczy XDSpy i uważają, że jest to sponsorowany przez państwo APT (Advanced Persistent Threat). Głównym obszarem działalności XDSpy jest Europa Wschodnia i Bałkany, a jej cele sięgają od podmiotów prywatnych po organizacje rządowe.

Po raz pierwszy jednoznacznie wykryto działania grupy, gdy białoruski zespół reagowania na incydenty komputerowe wydał ostrzeżenie, że nienazwany wówczas kolektyw hakerski próbuje zebrać dane z ministerstw w kraju. Oprócz Białorusi XDSpy zaatakowało podmioty zlokalizowane m.in. w Rosji, Mołdawii, Ukrainie i Serbii. Ofiary mają wiele różnych typów, od korporacji po jednostki wojskowe i dyplomatyczne. Badacze bezpieczeństwa zauważyli, że hakerzy działali w sposób pięciodniowy i synchronizowali swoje działania z lokalną strefą czasową ofiar.

XDSpy polega na podstawowych, ale skutecznych narzędziach do złośliwego oprogramowania

Zestaw narzędzi zastosowany przez XDSpy wykazuje niewiele pod względem zaawansowanej funkcjonalności, ale to w żaden sposób nie oznacza, że nie jest skuteczny. Preferowanym wektorem ataku grupy jest spear-phishing, w ramach którego e-maile zawierają zatrute załączniki. Zwykle są to archiwa takie jak pliki RAR lub ZIP, ale mogą to być również pliki Powerpoint lub LNK. Niektóre e-maile zawierały odsyłacz do pliku zawierającego zagrożenie złośliwym oprogramowaniem. Sam atak został podzielony na kilka etapów. Uruchomienie uszkodzonego pliku z wiadomości e-mail powoduje wykonanie skryptu, którego zadaniem jest pobranie głównego ładunku o nazwie XDDown. Po pomyślnym zainstalowaniu XDDown może upuścić dodatkowe moduły złośliwego oprogramowania zgodnie z określonymi celami hakerów. Nazwy nadawane dodatkowym ładunkom to XDREcon, XDList, XDMonitor, XDUpload, XDLoc i XDPass.

W sumie narzędzia używane przez XDSpy obejmowały techniki antyanalizy, takie jak zaciemnianie ciągów znaków i ładowanie dynamicznych bibliotek Windows API. Ich główne działania w zaatakowanym systemie polegały na monitorowaniu dysków wymiennych, zrzutach ekranu i eksfiltracji danych.