XDSpy

กิจกรรมของกลุ่มผู้ตรวจสอบที่หลบเลี่ยงความสนใจของชุมชนอินโฟเซกตั้งแต่อย่างน้อยปี 2011 ได้ถูกเปิดเผยในที่สุด นักวิจัยเรียกกลุ่มอาชญากร XDSpy และเชื่อว่าเป็น APT ที่ได้รับการสนับสนุนจากรัฐ (Advanced Persistent Threat) โรงละครหลักของการดำเนินงานสำหรับ XDSpy คือยุโรปตะวันออกและคาบสมุทรบอลข่าน โดยมีเป้าหมายตั้งแต่หน่วยงานเอกชนไปจนถึงหน่วยงานของรัฐ

ครั้งแรกที่ตรวจพบการดำเนินการของกลุ่มโดยสรุปคือเมื่อทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของเบลารุสออกคำเตือนว่ากลุ่มแฮ็กเกอร์ที่ไม่มีชื่อในขณะนั้นกำลังพยายามรวบรวมข้อมูลจากกระทรวงในประเทศ นอกจากเบลารุสแล้ว XDSpy ยังกำหนดเป้าหมายไปยังหน่วยงานที่ตั้งอยู่ในรัสเซีย มอลโดวา ยูเครน และเซอร์เบีย และอื่นๆ เหยื่อผู้เคราะห์ร้ายแสดงหลายประเภทตั้งแต่องค์กรไปจนถึงหน่วยงานทางการทหารและการทูต นักวิจัยด้านความปลอดภัยสังเกตเห็นว่าแฮ็กเกอร์ทำงานเป็นเวลาห้าวันและซิงโครไนซ์การดำเนินการกับเขตเวลาท้องถิ่นของเหยื่อ

XDSpy พึ่งพาเครื่องมือมัลแวร์ขั้นพื้นฐานแต่มีประสิทธิภาพ

ชุดเครื่องมือที่ใช้โดย XDSpy แสดงให้เห็นเพียงเล็กน้อยในแง่ของการทำงานที่ซับซ้อน แต่ก็ไม่ได้หมายความว่าจะไม่มีผลแต่อย่างใด รูปแบบการโจมตีที่ต้องการของกลุ่มคือ spear-phishing โดยมีอีเมลที่มีไฟล์แนบที่เป็นพิษ โดยปกติแล้ว ไฟล์เหล่านี้เป็นไฟล์เก็บถาวร เช่น ไฟล์ RAR หรือ ZIP แต่อาจเป็นไฟล์ Powerpoint หรือ LNK ก็ได้ อีเมลบางฉบับมีลิงก์ไปยังไฟล์ที่มีภัยคุกคามจากมัลแวร์ การโจมตีนั้นแบ่งออกเป็นหลายขั้นตอน การเรียกใช้ไฟล์ที่เสียหายจากอีเมลจะเรียกใช้สคริปต์ที่มอบหมายให้ดาวน์โหลดเพย์โหลดหลักที่เรียกว่า XDDown เมื่อติดตั้งสำเร็จแล้ว XDDown สามารถวางโมดูลมัลแวร์เพิ่มเติมตามเป้าหมายเฉพาะของแฮกเกอร์ ชื่อที่กำหนดให้กับเพย์โหลดรองคือ XDREcon, XDList, XDMonitor, XDUpload, XDLoc และ XDPass

โดยรวมแล้ว เครื่องมือที่ใช้โดย XDSpy รวมเทคนิคการต่อต้านการวิเคราะห์ เช่น การสร้างความสับสนให้กับสตริงและการโหลดไลบรารี Windows API แบบไดนามิก กิจกรรมหลักของพวกเขาเกี่ยวกับระบบที่ถูกบุกรุกคือการตรวจสอบไดรฟ์แบบถอดได้ ภาพหน้าจอ และการกรองข้อมูล

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...