XDSpy

En azından 2011'den beri bilgi güvenliği camiasının dikkatinden kaçan bir kontrol grubunun faaliyetleri sonunda gün ışığına çıkarıldı. Araştırmacılar, suç kolektifi XDSpy'ı aradılar ve bunun devlet destekli bir APT (Gelişmiş Kalıcı Tehdit) olduğuna inanıyorlar. XDSpy'ın ana operasyon alanı, özel kuruluşlardan devlet kuruluşlarına kadar uzanan hedefleri ile Doğu Avrupa ve Balkanlar'dır.

Grubun operasyonları ilk kez kesin olarak tespit edildiğinde, Belarus bilgisayar acil müdahale ekibi, o zamanlar adı açıklanmayan hacker kolektifinin ülkedeki bakanlıklardan veri toplamaya çalıştığına dair bir uyarı yayınladı. Belarus'un yanı sıra, XDSpy diğerlerinin yanı sıra Rusya, Moldova, Ukrayna ve Sırbistan'da bulunan kuruluşları hedef aldı. Kurbanlar, şirketlerden askeri ve diplomatik kuruluşlara kadar çok sayıda farklı tip gösteriyor. Güvenlik araştırmacıları, bilgisayar korsanlarının beş günlük bir çalışma yöntemiyle çalıştığını ve operasyonlarını kurbanların yerel saat dilimine göre senkronize ettiğini fark etti.

XDSpy Temel Ancak Etkili Kötü Amaçlı Yazılım Araçlarına Güveniyor

XDSpy tarafından kullanılan araç takımı, karmaşık işlevsellik açısından çok az şey gösterir, ancak bu hiçbir şekilde etkili olmadığı anlamına gelmez. Grubun tercih edilen saldırı vektörü, zehirli ekler taşıyan e-postalarla hedefli kimlik avıdır. Bunlar genellikle RAR veya ZIP dosyaları gibi arşivlerdir, ancak Powerpoint veya LNK dosyaları da olabilir. Bazı e-postalar, kötü amaçlı yazılım tehdidini taşıyan dosyaya bir bağlantı içeriyordu. Saldırının kendisi birden fazla aşamaya bölündü. Bozuk dosyayı e-postadan çalıştırmak, XDDown adlı ana yükün indirilmesiyle görevli bir komut dosyasını yürütür. Başarılı bir şekilde yüklendikten sonra, XDDown bilgisayar korsanlarının belirli hedeflerine uygun olarak ek kötü amaçlı yazılım modülleri bırakabilir. İkincil yüklere verilen adlar XDREcon, XDList, XDMonitor, XDUpload, XDLoc ve XDPass'tır.

Bir bütün olarak, XDSpy tarafından kullanılan araçlar, dize gizleme ve dinamik Windows API kitaplığı yükleme gibi analiz önleme tekniklerini içeriyordu. Güvenliği ihlal edilmiş sistemdeki ana faaliyetleri, çıkarılabilir sürücüleri, ekran görüntüsünü ve veri hırsızlığını izlemekti.