XDSpy

Aktivitetet e një grupi kontrollues që i ka shpëtuar vëmendjes së komunitetit infosec që të paktën që nga viti 2011, janë nxjerrë më në fund në dritë. Studiuesit e quajtën kolektivin kriminal XDSpy, dhe ata besojnë se është një APT (Kërcënim i Përparuar i Përparuar) i sponsorizuar nga shteti. Teatri kryesor i operacioneve për XDSpy është Evropa Lindore dhe Ballkani, me objektivat e saj që variojnë nga subjektet private deri te organizatat qeveritare.

Hera e parë që operacionet e grupit u zbuluan përfundimisht ishte kur ekipi bjellorus i përgjigjes së urgjencës kompjuterike lëshoi një paralajmërim se grupi i hakerëve i paidentifikuar në atë kohë po përpiqej të mblidhte të dhëna nga ministritë në vend. Përveç Bjellorusisë, XDSpy ka synuar entitete të vendosura në Rusi, Moldavi, Ukrainë dhe Serbi, ndër të tjera. Viktimat tregojnë një numër të konsiderueshëm të llojeve të ndryshme, duke filluar nga korporatat e deri tek entet ushtarake dhe diplomatike. Studiuesit e sigurisë vunë re se hakerët operuan në një mënyrë pune pesë-ditore dhe i sinkronizuan operacionet e tyre me zonën kohore lokale të viktimave.

XDSpy Mbështetuni në Mjetet Themelore por Efektive të Malware

Paketa e veglave të përdorura nga XDSpy tregon pak për sa i përket funksionalitetit të sofistikuar, por kjo në asnjë mënyrë nuk do të thotë se nuk është efektive. Vektori i preferuar i sulmit të grupit është spear-phishing, me email që mbajnë bashkëngjitje të helmuara. Zakonisht, ato janë arkiva të tilla si skedarët RAR ose ZIP, por ato gjithashtu mund të jenë skedarë Powerpoint ose LNK. Disa email përfshinin një lidhje me skedarin që mbante kërcënimin e malware. Vetë sulmi u nda në disa faza. Ekzekutimi i skedarit të dëmtuar nga emaili ekzekuton një skript të ngarkuar me shkarkimin e ngarkesës kryesore të quajtur XDDown. Pasi të instalohet me sukses, XDDown mund të heqë module shtesë malware në përputhje me qëllimet specifike të hakerëve. Emrat e dhënë për ngarkesat dytësore janë XDREcon, XDList, XDMonitor, XDUpload, XDLoc dhe XDPass.

Në tërësi, mjetet e përdorura nga XDSpy përfshinin teknika anti-analizë të tilla si errësimi i vargut dhe ngarkimi dinamik i bibliotekës së Windows API. Aktivitetet e tyre kryesore në sistemin e komprometuar ishin monitorimi i disqeve të lëvizshme, pamjes së ekranit dhe ekfiltrimit të të dhënave.