XDSpy
Діяльність групи перевірки, яка вислизала від уваги спільноти infosec принаймні з 2011 року, була нарешті виявлена. Дослідники назвали злочинний колектив XDSpy, і вони вважають, що це спонсорована державою APT (Advanced Persistent Threat). Основним театром операцій XDSpy є Східна Європа та Балкани, цілі якого варіюються від приватних організацій до державних організацій.
Перший раз, коли операції групи були остаточно виявлені, було, коли білоруська група швидкого реагування на комп’ютерні надзвичайні ситуації оприлюднила попередження про те, що неназваний на той час хакерський колектив намагається зібрати дані з міністерств країни. Окрім Білорусі, XDSpy націлений на організації, розташовані в Росії, Молдові, Україні та Сербії та інших. Жертви показують значну кількість різних типів, починаючи від корпорацій до військових і дипломатичних структур. Дослідники безпеки помітили, що хакери працювали за п’ятиденним режимом роботи та синхронізували свої операції з місцевим часовим поясом жертв.
XDSpy покладайтеся на базові, але ефективні інструменти зловмисного програмного забезпечення
Набір інструментів, який використовує XDSpy, мало показує з точки зору складної функціональності, але це жодним чином не означає, що він неефективний. Переважним вектором атаки групи є спис-фішинг, коли електронні листи містять отруєні вкладення. Зазвичай це архіви, такі як файли RAR або ZIP, але вони також можуть бути файлами Powerpoint або LNK. Деякі електронні листи містили посилання на файл із загрозою зловмисного програмного забезпечення. Сама атака була поділена на кілька етапів. Запуск пошкодженого файлу з електронної пошти виконує сценарій, якому поставлено завдання завантажити основне корисне навантаження під назвою XDDown. Після успішного встановлення XDDown може скинути додаткові модулі шкідливих програм відповідно до конкретних цілей хакерів. Додатковим корисним навантаженням надаються імена XDREcon, XDList, XDMonitor, XDUpload, XDLoc і XDPass.
Загалом інструменти, які використовує XDSpy, включали методи антианалізу, такі як обфускація рядків і динамічне завантаження бібліотеки Windows API. Їх основна діяльність у скомпрометованій системі полягала в моніторингу знімних дисків, скріншотів і вилучення даних.
