XDSpy

Aktiviteterna i en pjäsgrupp som har gäckat infosec-gemenskapens uppmärksamhet sedan åtminstone 2011 har äntligen uppdagats. Forskarna kallade det kriminella kollektivet XDSpy, och de tror att det är en statligt sponsrad APT (Advanced Persistent Threat). Den huvudsakliga verksamhetsplatsen för XDSpy är Östeuropa och Balkan, med dess mål som sträcker sig från privata enheter till statliga organisationer.

Första gången gruppens verksamhet upptäcktes definitivt var när det vitryska datorberedskapsteamet släppte en varning om att det då namnlösa hackerkollektivet försökte samla in data från ministerier i landet. Förutom Vitryssland har XDSpy riktat in sig på enheter i bland annat Ryssland, Moldavien, Ukraina och Serbien. Offren visar ett stort antal olika typer, allt från företag till militära och diplomatiska enheter. Säkerhetsforskare märkte att hackarna arbetade på ett femdagars arbetssätt och synkroniserade sin verksamhet till offrens lokala tidszon.

XDSpy Lita på grundläggande men effektiva verktyg för skadlig programvara

Verktygssatsen som används av XDSpy visar lite i termer av sofistikerad funktionalitet, men det betyder inte på något sätt att den inte är effektiv. Den föredragna attackvektorn för gruppen är spjutfiske, med e-postmeddelanden med förgiftade bilagor. Vanligtvis är det arkiv som RAR- eller ZIP-filer, men de kan också vara Powerpoint- eller LNK-filer. Vissa e-postmeddelanden inkluderade en länk till filen med hotet om skadlig programvara. Själva attacken var uppdelad i flera steg. Att köra den skadade filen från e-postmeddelandet kör ett skript med uppgift att ladda ner den huvudsakliga nyttolasten som heter XDDown. När det väl har installerats framgångsrikt kan XDDown släppa ytterligare skadliga programmoduler i enlighet med hackarnas specifika mål. Namnen som ges till de sekundära nyttolasterna är XDREcon, XDList, XDMonitor, XDUpload, XDLoc och XDPass.

Som helhet inkluderade verktygen som används av XDSpy antianalystekniker som strängobfuskation och dynamisk Windows API-biblioteksladdning. Deras huvudsakliga aktiviteter på det komprometterade systemet var att övervaka flyttbara enheter, skärmdumpar och dataexfiltrering.