XDSpy

Наконец-то стала известна деятельность группы проверки, которая ускользала от внимания сообщества информационной безопасности как минимум с 2011 года. Исследователи назвали преступный коллектив XDSpy и считают, что это спонсируемая государством APT (Advanced Persistent Threat). Основным театром операций XDSpy является Восточная Европа и Балканы, и его цели варьируются от частных лиц до государственных организаций.

Впервые операции группы были окончательно обнаружены, когда белорусская группа реагирования на компьютерные чрезвычайные ситуации выпустила предупреждение о том, что тогда еще неназванный коллектив хакеров пытался собрать данные из министерств в стране. Помимо Беларуси, XDSpy нацелен на организации, расположенные, в частности, в России, Молдове, Украине и Сербии. Жертвы проявляют немалое количество различных типов, начиная от корпораций и заканчивая военными и дипломатическими структурами. Исследователи безопасности заметили, что хакеры работали в режиме пятидневной работы и синхронизировали свои операции с местным часовым поясом жертв.

XDSpy использует базовые, но эффективные инструменты для работы с вредоносными программами

Инструментарий, используемый XDSpy, мало отличается сложной функциональностью, но это никоим образом не означает, что он неэффективен. Предпочтительным вектором атаки группы является целевой фишинг с электронными письмами, содержащими отравленные вложения. Обычно это архивы, такие как файлы RAR или ZIP, но они также могут быть файлами Powerpoint или LNK. Некоторые электронные письма содержали ссылку на файл, содержащий угрозу вредоносного ПО. Сама атака была разделена на несколько этапов. Запуск поврежденного файла из электронной почты запускает сценарий, которому поручено загрузить основную полезную нагрузку под названием XDDown. После успешной установки XDDown может сбрасывать дополнительные вредоносные модули в соответствии с конкретными целями хакеров. Имена, данные вторичным полезным нагрузкам: XDREcon, XDList, XDMonitor, XDUpload, XDLoc и XDPass.

В целом инструменты, используемые XDSpy, включали методы антианализа, такие как запутывание строк и динамическая загрузка библиотеки Windows API. Их основные действия на скомпрометированной системе заключались в мониторинге съемных дисков, создании снимков экрана и краже данных.

В тренде

Наиболее просматриваемые

Загрузка...