XDSpy
Ang mga aktibidad ng isang checker group na nakatakas sa atensyon ng komunidad ng infosec mula noong 2011 ay nahayag sa wakas. Tinawag ng mga mananaliksik ang criminal collective na XDSpy, at naniniwala sila na ito ay isang state-sponsored APT (Advanced Persistent Threat). Ang pangunahing teatro ng mga operasyon para sa XDSpy ay ang Silangang Europa at ang Balkan, kasama ang mga target nito mula sa mga pribadong entidad hanggang sa mga organisasyon ng pamahalaan.
Ang unang pagkakataon na matukoy ang mga operasyon ng grupo ay nang ang Belarusian computer emergency response team ay naglabas ng babala na ang hindi pinangalanang kolektibong hacker ay nagtatangkang mangolekta ng data mula sa mga ministri sa bansa. Bukod sa Belarus, ang XDSpy ay may mga target na entity na matatagpuan sa Russia, Moldova, Ukraine, at Serbia, bukod sa iba pa. Ang mga biktima ay nagpapakita ng malaking bilang ng iba't ibang uri, mula sa mga korporasyon hanggang sa mga entidad ng militar at diplomatikong. Napansin ng mga mananaliksik sa seguridad na ang mga hacker ay nagpapatakbo sa isang limang araw na paraan ng pagtatrabaho at ini-synchronize ang kanilang mga operasyon sa lokal na time-zone ng mga biktima.
Umaasa ang XDSpy sa Basic Ngunit Epektibong Mga Tool sa Malware
Ang toolkit na ginagamit ng XDSpy ay nagpapakita ng kaunti sa mga tuntunin ng sopistikadong pagpapaandar, ngunit hindi iyon nangangahulugan na hindi ito epektibo. Ang gustong vector ng pag-atake ng grupo ay spear-phishing, na may mga email na may mga nakalalasong attachment. Karaniwan, ang mga iyon ay mga archive tulad ng mga RAR o ZIP file, ngunit maaari rin silang mga Powerpoint o LNK file. Ang ilang mga email ay may kasamang link sa file na naglalaman ng banta ng malware. Ang pag-atake mismo ay nahahati sa maraming yugto. Ang pagpapatakbo ng sirang file mula sa email ay nagsasagawa ng isang script na nakatalaga sa pag-download ng pangunahing payload na tinatawag na XDDown. Kapag matagumpay itong na-install, maaaring mag-drop ang XDDown ng mga karagdagang module ng malware alinsunod sa mga partikular na layunin ng mga hacker. Ang mga pangalan na ibinigay sa mga pangalawang payload ay XDREcon, XDList, XDMonitor, XDUpload, XDLoc at XDPass.
Sa kabuuan, ang mga tool na ginamit ng XDSpy ay may kasamang mga diskarte sa anti-analysis gaya ng string obfuscation at dynamic na Windows API library loading. Ang kanilang mga pangunahing aktibidad sa nakompromisong system ay ang pagsubaybay sa mga naaalis na drive, screenshot at data exfiltration.
