XDSpy

As atividades de um grupo de hackers que escapou à atenção da comunidade infosec desde pelo menos 2011 foram finalmente trazidas à luz. Os pesquisadores chamaram esse coletivo criminoso de XDSpy e acreditam que ele seja um APT (Ameaça Persistente Avançada) patrocinado pelo estado. O principal teatro de operações do XDSpy é a Europa Oriental e os Bálcãs, com alvos que vão desde entidades privadas a organizações governamentais.

A primeira vez que as operações do grupo foram detectadas de forma conclusiva foi quando a equipe de resposta a emergências dos computadores da Bielorrússia divulgou um alerta de que o então não identificado coletivo de hackers estava tentando coletar dados dos ministérios do país. Além da Bielo-Rússia, o XDSpy tem como alvo entidades localizadas na Rússia, Moldávia, Ucrânia e Sérvia, entre outros. As vítimas apresentam um número considerável de tipos diferentes, que vão desde corporações a entidades militares e diplomáticas. Os pesquisadores de segurança notaram que os hackers operaram em uma maneira de trabalho de cinco dias e sincronizaram suas operações com o fuso horário local das vítimas.

O XDSpy Depende de Ferramentas de Malware Básicas, Porém Eficazes

O kit de ferramentas empregado pelo XDSpy mostra pouco em termos de funcionalidade sofisticada, mas isso de forma alguma significa que ele não seja eficaz. O vetor de ataque preferido do grupo é o spear-phishing, com e-mails contendo anexos envenenados. Normalmente, esses são arquivos como arquivos RAR ou ZIP, mas também podem ser arquivos do PowerPoint ou LNK. Alguns e-mails incluem um link para o arquivo que contém a ameaça de malware. O ataque em si foi dividido em várias etapas. A execução do arquivo corrompido do e-mail executa um script com a tarefa de baixar a carga útil principal, chamada XDDown. Depois de instalado com sucesso, o XDDown pode descartar módulos de malware adicionais de acordo com os objetivos específicos dos hackers. Os nomes dados às cargas secundárias são XDREcon, XDList, XDMonitor, XDUpload, XDLoc e XDPass.

Como um todo, as ferramentas usadas pelo XDSpy incluíram técnicas de anti-análise, tais como ofuscação de string e carregamento dinâmico da biblioteca de API do Windows. Suas principais atividades no sistema comprometido eram monitorar unidades removíveis, captura de tela e exfiltração de dados.

Tendendo

Mais visto

Carregando...