XDSpy
至少从 2011 年起就一直躲避信息安全社区关注的检查小组的活动终于被曝光。研究人员将犯罪集体称为 XDSpy,他们认为这是一个国家资助的 APT(高级持续威胁)。 XDSpy 的主要战区是东欧和巴尔干地区,其目标范围从私人实体到政府组织。
第一次最终发现该组织的行动是在白俄罗斯计算机应急响应小组发布警告称当时未具名的黑客团体正试图从该国各部委收集数据时。除白俄罗斯外,XDSpy 还针对位于俄罗斯、摩尔多瓦、乌克兰和塞尔维亚等地的实体。受害者表现出相当多的不同类型,从公司到军事和外交实体。安全研究人员注意到,黑客以五天的工作方式进行操作,并将他们的操作与受害者的本地时区同步。
XDSpy 依赖于基本但有效的恶意软件工具
XDSpy 使用的工具包在复杂功能方面几乎没有显示出来,但这绝不意味着它无效。该组织的首选攻击媒介是鱼叉式网络钓鱼,电子邮件带有带毒附件。通常,这些是 RAR 或 ZIP 文件等档案,但它们也可以是 Powerpoint 或 LNK 文件。一些电子邮件包含指向带有恶意软件威胁的文件的链接。攻击本身分为多个阶段。从电子邮件中运行损坏的文件会执行一个脚本,该脚本的任务是下载名为 XDDown 的主要有效负载。安装成功后,XDDown 可以根据黑客的具体目标删除额外的恶意软件模块。次要负载的名称是 XDREcon、XDList、XDMonitor、XDUpload、XDLoc 和 XDPass。
总的来说,XDSpy 使用的工具包括反分析技术,例如字符串混淆和动态 Windows API 库加载。他们在受感染系统上的主要活动是监控可移动驱动器、屏幕截图和数据泄露。
