XDSpy

Activitățile unui grup de verificatori care a ocolit atenția comunității infosec încă din 2011 au fost scoase în sfârșit la lumină. Cercetătorii au numit colectivul criminal XDSpy și cred că este un APT (Advanced Persistent Threat) sponsorizat de stat. Principalul teatru de operațiuni pentru XDSpy este Europa de Est și Balcanii, cu țintele sale variind de la entități private la organizații guvernamentale.

Prima dată când operațiunile grupului au fost detectate în mod concludent a fost atunci când echipa de răspuns în situații de urgență informatică din Belarus a lansat un avertisment că colectivul de hackeri fără nume atunci încerca să colecteze date de la ministerele din țară. Pe lângă Belarus, XDSpy a vizat entități situate în Rusia, Moldova, Ucraina și Serbia, printre altele. Victimele prezintă un număr considerabil de tipuri diferite, de la corporații la entități militare și diplomatice. Cercetătorii de securitate au observat că hackerii au lucrat pe o perioadă de cinci zile și și-au sincronizat operațiunile cu fusul orar local al victimelor.

XDSpy se bazează pe instrumente malware de bază, dar eficiente

Setul de instrumente folosit de XDSpy arată puțin în ceea ce privește funcționalitatea sofisticată, dar asta nu înseamnă în niciun caz că nu este eficient. Vectorul de atac preferat al grupului este spear-phishingul, cu e-mailuri care poartă atașamente otrăvite. De obicei, acestea sunt arhive precum fișierele RAR sau ZIP, dar ar putea fi și fișiere Powerpoint sau LNK. Unele e-mailuri au inclus un link către fișierul care conține amenințarea malware. Atacul în sine a fost împărțit în mai multe etape. Rularea fișierului corupt din e-mail execută un script însărcinat cu descărcarea sarcinii principale numite XDDown. Odată ce este instalat cu succes, XDDown poate elimina module malware suplimentare în conformitate cu obiectivele specifice ale hackerilor. Numele date încărcărilor utile secundare sunt XDREcon, XDList, XDMonitor, XDUpload, XDLoc și XDPass.

În ansamblu, instrumentele utilizate de XDSpy au inclus tehnici anti-analize, cum ar fi ofuscarea șirurilor și încărcarea dinamică a bibliotecii API Windows. Activitățile lor principale pe sistemul compromis au fost să monitorizeze unitățile amovibile, capturile de ecran și exfiltrarea datelor.