XDSpy
一個至少從 2011 年起就沒有受到信息安全社區關注的檢查小組的活動終於被曝光了。研究人員將犯罪集體稱為 XDSpy,他們認為這是一個由國家贊助的 APT(高級持續威脅)。 XDSpy 的主要戰區是東歐和巴爾乾地區,其目標範圍從私人實體到政府組織。
第一次最終發現該組織的行動是在白俄羅斯計算機應急響應小組發布警告稱當時未具名的黑客團體正試圖從該國各部委收集數據時。除白俄羅斯外,XDSpy 還針對位於俄羅斯、摩爾多瓦、烏克蘭和塞爾維亞等地的實體。受害者表現出相當多的不同類型,從公司到軍事和外交實體。安全研究人員注意到,黑客以五天的工作方式進行操作,並將他們的操作與受害者的本地時區同步。
XDSpy 依賴於基本但有效的惡意軟件工具
XDSpy 使用的工具包在復雜功能方面幾乎沒有顯示出來,但這絕不意味著它無效。該組織的首選攻擊媒介是魚叉式網絡釣魚,電子郵件帶有帶毒附件。通常,這些是 RAR 或 ZIP 文件等檔案,但它們也可以是 Powerpoint 或 LNK 文件。一些電子郵件包含指向帶有惡意軟件威脅的文件的鏈接。攻擊本身分為多個階段。從電子郵件中運行損壞的文件會執行一個腳本,該腳本的任務是下載名為 XDDown 的主要有效負載。安裝成功後,XDDown 可以根據黑客的具體目標刪除額外的惡意軟件模塊。次要負載的名稱是 XDREcon、XDList、XDMonitor、XDUpload、XDLoc 和 XDPass。
總的來說,XDSpy 使用的工具包括反分析技術,例如字符串混淆和動態 Windows API 庫加載。他們在受感染系統上的主要活動是監控可移動驅動器、屏幕截圖和數據洩露。
