Eine ESET-Untersuchung deckt die Existenz einer neuen APT-Gruppe namens XDSpy auf, die seit fast zehn Jahren vertrauliche Dokumente von europäischen Regierungen stiehlt.
ESET, eines der weltweit anerkanntesten Computersicherheitsunternehmen, veröffentlichte a berichten kürzlich, wo es die Existenz einer Gruppe von offenbart APT (Advanced Persistent Threat) die heimlich eine große Anzahl von Angriffen gegen viele Regierungsbehörden, Unternehmen und Privatunternehmen in Osteuropa und auf dem Balkan inszeniert hat.
Die Gruppe, bekannt als XDSpyist Betriebs- seit 2011, blieb jedoch von den Behörden unbemerkt. Das Sicherheitsunternehmen weist darauf hin, dass nur das belarussische Computer Emergency Response Team (CERT) im Februar 2020 einen ähnlichen Angriff einer ATP-Gruppe gemeldet habe freigebenCERT berichtete, dass es eine weitere Malware-Verbreitungskampagne entdeckt habe, die Schadsoftware per E-Mail an echte Regierungsmitarbeiter verschickt und so die von ihnen verarbeiteten vertraulichen Daten gefährdet. Das CERT betonte, dass der Hauptangriffsvektor dieser Gruppen offizielle Mitarbeiter von Regierungsbehörden und -einrichtungen seien. ESET verknüpft diese Angriffe mit der kürzlich entdeckten XDSpy-Gruppe.
Es könnte Sie interessieren: ESET entdeckt eine neue Malware-Familie, die Kryptowährungen schürfen und stehlen kann
Die Hauptziele von XCSpy
„Die Angriffsziele der XDSpy-Gruppe liegen in Osteuropa und auf dem Balkan und sind hauptsächlich Regierungsstellen, darunter das Militär, Außenministerien und Privatunternehmen.“
Untersuchungen von ESET deuten darauf hin, dass XDSpy es vor allem auf diese Regierungsbehörden in osteuropäischen Ländern wie Weißrussland, Moldawien, Russland, Serbien und der Ukraine abgesehen hat. Zusätzlich,
Ebenso konnte das Sicherheitsunternehmen die XDSpy-Angriffe nicht mit anderen bekannten Malware-Angriffen in Verbindung bringen, da es sich um eine ziemlich einzigartige Gruppe handelt, die unterschiedliche Angriffsmethoden anwendet, die von E-Mails bis hin zu Angriffen reichen Phishing sogar das Durchsickern von Spyware.
Fast 10 Jahre unbemerkte Aktivität
Das Besorgniserregendste, was ESET enthüllt, ist, dass XDSpy seit mindestens 2011 einsatzbereit ist und Angriffe mit sehr einfachen, aber effektiven Tools orchestriert hat, die es der Öffentlichkeit verborgen hielten. Bisher gibt es nur sehr wenige dokumentierte Informationen über diese Cyberspionagegruppe, was für das Sicherheitsunternehmen sehr selten ist, da die Angriffsgruppe seit fast zehn Jahren illegale Aktivitäten betreibt.
Untersuchungen von ESET deuten ebenfalls darauf hin, dass das XDSpy-Malware-Ökosystem aus mindestens sieben Spyware-Programmen besteht, darunter: XDDown, XDRecon, XDList, XDMonitor, XDUpload, XDLoc y XDPass, mit dem Ziel, persönliche Informationen von kompromittierten Computern zu sammeln, bestimmte Dokumente und Dateipfade zu verfolgen und zu exfiltrieren, Wechseldatenträger zu überwachen, Passwörter für den Anwendungs- und Kontozugriff zu speichern und vieles mehr. Mithilfe dieser Software überwachte die Gruppe die Wechseldatenträger von Regierungsbehörden, machte Screenshots und ließ vertrauliche Dokumente durchsickern.
ESET gibt außerdem bekannt, dass es im ATP ein benutzerdefiniertes Modul gefunden hat, wahrscheinlich mit dem Ziel, Identifikatoren von nahegelegenen WLAN-Zugangspunkten zu sammeln, um kompromittierte Maschinen und Geräte zu lokalisieren. Ebenso enthüllt ESET, dass diese Angriffsgruppe NirSoft-Dienstprogramme verwendet, um Passwörter von Webbrowsern und E-Mail-Clients wiederherzustellen, was zweifellos das Ziel dieser Malware-Kampagne verrät.
Phishing und Malware
Einige der von der XDSpy-Gruppe an Regierungsbeamte gesendeten E-Mails enthalten Anhänge, während andere Links zu einer bösartigen oder mit Malware infizierten Datei enthalten. Die E-Mails können ZIP- oder RAR-Dateien enthalten, die eine LNK-Datei enthalten, die ein zusätzliches Skript herunterlädt, das die XDDown-Software direkt auf dem gefährdeten Computer installiert.
Andererseits gibt das Unternehmen bekannt, dass ein weiterer Angriff dieser Gruppe in den letzten Monaten häufig auf eine Schwachstelle im Internet Explorer zurückzuführen ist, nämlich die Sicherheitslücke CVE-2020-0968, wodurch der C&C-Server eine RTF-Datei liefern kann, die nach dem Öffnen eine HTML-Datei herunterlädt, die dazu dient, die oben genannte Sicherheitslücke auszunutzen und den Computer zu infizieren. Der CVE-2020-0968-Exploit, eine der in den letzten zwei Jahren im Internet Explorer entdeckten Schwachstellen, ähnelt stark den Schwachstellen, die von anderen Angriffsgruppen ausgenutzt werden, z Dunkles Hotel y Produktion DominoDaher geht ESET davon aus, dass diese Gruppen denselben Broker verwenden, um an die Exploits zu gelangen.
ESET kommt zu dem Schluss, dass XDSpy verschiedene Schadprogramme verwendet, die relativ einfach sind und keine fortgeschrittenen Techniken verwenden, ihre Ziele aber recht effektiv erreichen. Das Sicherheitsunternehmen wird die Angriffsaktivitäten dieser ganz besonderen APT-Gruppe weiterhin untersuchen und überwachen.
Weiterlesen: Anubis, die neue Malware, die in der Lage ist, die Anmeldedaten einer Kryptowährungs-Wallet zu stehlen
