XDSpy

Končno so bile razkrite dejavnosti skupine za preverjanje, ki se je od leta 2011 izogibala pozornosti skupnosti infosec. Raziskovalci so kriminalni kolektiv poimenovali XDSpy in menijo, da gre za državno sponzorirano APT (Advanced Persistent Threat). Glavno prizorišče delovanja XDSpy je Vzhodna Evropa in Balkan, katerega cilji segajo od zasebnih subjektov do vladnih organizacij.

Prvič, ko so bile operacije skupine dokončno odkrite, je bilo, ko je beloruska ekipa za računalniško reševanje v sili objavila opozorilo, da takrat neimenovani hekerski kolektiv poskuša zbrati podatke od ministrstev v državi. Poleg Belorusije je XDSpy med drugim ciljal na subjekte, ki se nahajajo v Rusiji, Moldaviji, Ukrajini in Srbiji. Žrtve kažejo precejšnje število različnih tipov, od korporacij do vojaških in diplomatskih subjektov. Varnostni raziskovalci so opazili, da so hekerji delovali na petdnevni delovni način in so svoje operacije sinhronizirali z lokalnim časovnim pasom žrtev.

XDSpy Zanašajte se na osnovna, a učinkovita orodja za zlonamerno programsko opremo

Zbirka orodij, ki jo uporablja XDSpy, kaže malo v smislu prefinjene funkcionalnosti, vendar to nikakor ne pomeni, da ni učinkovita. Najprimernejši vektor napada skupine je lažno predstavljanje, pri čemer e-poštna sporočila vsebujejo zastrupljene priloge. Običajno so to arhivi, kot so datoteke RAR ali ZIP, lahko pa so tudi datoteke Powerpoint ali LNK. Nekatera e-poštna sporočila so vsebovala povezavo do datoteke, ki vsebuje grožnjo zlonamerne programske opreme. Sam napad je bil razdeljen na več stopenj. Zagon poškodovane datoteke iz e-pošte izvede skript, ki ima nalogo za prenos glavnega koristnega tovora, imenovanega XDDown. Ko je uspešno nameščen, lahko XDDown izpusti dodatne module zlonamerne programske opreme v skladu s posebnimi cilji hekerjev. Imena, dana sekundarnim koristnim obremenitvam, so XDREcon, XDList, XDMonitor, XDUpload, XDLoc in XDPass.

Kot celota so orodja, ki jih uporablja XDSpy, vključevala tehnike proti analizi, kot so zakrivanje nizov in dinamično nalaganje knjižnice Windows API. Njihove glavne dejavnosti na ogroženem sistemu so bile spremljanje izmenljivih pogonov, posnetkov zaslona in ekstrakcije podatkov.