XDSpy

Aktivity kontrolnej skupiny, ktorá uniká pozornosti komunity infosec minimálne od roku 2011, boli konečne vynesené na svetlo. Výskumníci nazvali zločinecký kolektív XDSpy a domnievajú sa, že ide o štátom podporovanú APT (Advanced Persistent Threat). Hlavným pôsobiskom XDSpy je východná Európa a Balkán, pričom jej ciele siahajú od súkromných subjektov až po vládne organizácie.

Prvýkrát boli operácie skupiny presvedčivo odhalené, keď bieloruský tím pre počítačovú núdzovú pohotovosť vydal varovanie, že vtedy nemenovaný hackerský kolektív sa pokúša zbierať údaje z ministerstiev v krajine. Okrem Bieloruska sa XDSpy zamerala na subjekty nachádzajúce sa okrem iného v Rusku, Moldavsku, Ukrajine a Srbsku. Obete vykazujú značný počet rôznych typov, od korporácií po vojenské a diplomatické subjekty. Bezpečnostní výskumníci si všimli, že hackeri pracovali na päťdňovej pracovnej ceste a synchronizovali svoje operácie s miestnym časovým pásmom obetí.

XDSpy Spoľahnite sa na základné, ale efektívne nástroje na malvér

Sada nástrojov, ktorú používa XDSpy, ukazuje málo z hľadiska sofistikovanej funkčnosti, ale to v žiadnom prípade neznamená, že nie je efektívne. Preferovaným vektorom útoku skupiny je spear-phishing, pričom e-maily nesú otrávené prílohy. Zvyčajne sú to archívy, ako sú súbory RAR alebo ZIP, ale môžu to byť aj súbory Powerpoint alebo LNK. Niektoré e-maily obsahovali odkaz na súbor nesúci hrozbu škodlivého softvéru. Samotný útok bol rozdelený do viacerých etáp. Spustením poškodeného súboru z e-mailu sa spustí skript, ktorého úlohou je stiahnuť hlavnú užitočnú časť s názvom XDDown. Po úspešnej inštalácii môže XDDown zahodiť ďalšie moduly škodlivého softvéru v súlade so špecifickými cieľmi hackerov. Názvy sekundárnych užitočných dát sú XDREcon, XDList, XDMonitor, XDUpload, XDLoc a XDPass.

Nástroje používané XDSpy ako celok zahŕňali antianalytické techniky, ako je zahmlievanie reťazcov a dynamické načítanie knižnice Windows API. Ich hlavnou činnosťou na napadnutom systéme bolo sledovanie vymeniteľných diskov, snímkovanie obrazovky a exfiltrácia dát.

Trendy

Najviac videné

Načítava...