Una investigación de ESET revela la existencia de un nuevo grupo APT, llamado XDSpy, que ha estado operativo desde hace casi 10 años robando documentos confidenciales a los gobiernos europeos.
ESET, una de las compañías de seguridad informática más reconocidas a nivel mundial, publicó un informe reciente donde revela la existencia de un grupo de APT (Advanced Persistent Threat) que ha orquestado un gran número de ataques de manera sigilosa contra muchas de las agencias gubernamentales, empresas y compañías privadas ubicadas en países de Europa del Este y los Balcanes.
El grupo, conocido como XDSpy, está operativo desde 2011 pero ha permanecido desapercibido ante las autoridades. La firma de seguridad señala que solo el Equipo de Respuesta ante Emergencias Informáticas (CERT) de Bielorrusia informó de un ataque similar por parte de un grupo ATP en febrero de 2020. En su comunicado, el CERT informó de que había detectado otra campaña de distribución de malware, que envía softwares maliciosos a empleados gubernamentales reales a través de sus correos electrónicos, comprometiendo los datos confidenciales que estos manejan. El CERT destacó que el principal vector de ataque de estos grupos son empleados oficiales de agencias y entidades gubernamentales. ESET relaciona estos ataques con el grupo XDSpy descubierto recientemente.
Te puede interesar: ESET descubre nueva familia de malware capaz de minar y robar criptomonedas
Los objetivos principales de XCSpy
“Los blancos de ataque del grupo XDSpy se encuentran en Europa del Este y los Balcanes y son principalmente entidades gubernamentales, incluidos militares, Ministerios de Relaciones Exteriores y empresas privadas”
La investigación de ESET sugiere que XDSpy está apuntando principalmente a estas agencias gubernamentales en países de Europa del Este como Bielorrusia, Moldavia, Rusia, Serbia y Ucrania. Además, XDSpy estuvo atacando a otras entidades y compañías privadas para el robo de información confidencial, por lo que el espionaje de este grupo de ataque no solo está dirigido a secretos de estado y documentos confidenciales, sino también al espionaje económico dentro de estos países.
Así mismo, la firma de seguridad no pudo vincular los ataques de XDSpy con otros ataques de malware conocidos, pues señala que se trata de un grupo bastante único que aplica distintos métodos de ataque, que van desde correos electrónicos para ataques phishing hasta la filtración de softwares espías.
Casi 10 años de actividad desapercibida
Lo más preocupante que revela ESET es que XDSpy ha estado operativo desde al menos 2011 y que ha estado orquestando ataques con herramientas muy básicas pero efectivas que lo han ocultado de la mirada pública. A la fecha, existe muy poca información documentada sobre este grupo de ciberespionaje, algo que para la firma de seguridad es muy poco común, ya que el grupo de ataque tiene casi 10 años de actividad ilícita.
Así mismo, la investigación de ESET señala que el ecosistema de malwares de XDSpy consiste en al menos siete software espías, como: XDDown, XDRecon, XDList, XDMonitor, XDUpload, XDLoc y XDPass, destinados a recopilar información personal de los equipos comprometidos, rastrear y exfiltrar documentos específicos y rutas de archivos, monitorear unidades extraíbles, almacenar contraseñas de acceso de aplicaciones y cuentas, y mucho más. A través de estos softwares, el grupo ha estado monitoreando las unidades extraíbles de las agencias gubernamentales, tomando capturas de pantalla y filtrando documentos confidenciales.
ESET también revela que encontró un módulo personalizado en el ATP, probablemente con el objetivo de recopilar identificadores de puntos de acceso Wi-Fi cercanos para localizar las máquinas y equipos comprometidos. Así mismo, ESET revela que este grupo de ataque utiliza las utilidades de NirSoft para recuperar contraseñas de navegadores web y clientes de correo electrónico, lo que sin dudas revela el objetivo de esta campaña de malware.
Phishing y Malware
Algunos de los correos electrónicos enviados por el grupo XDSpy a funcionarios de agencias gubernamentales contienen archivos adjuntos, mientras que otros contienen enlaces hacia algún archivo malicioso o infectado con malware. Los correos pueden contener archivos ZIP o RAR, que contienen un archivo LNK el cual descarga un script adicional que instala directamente el software XDDown en el equipo comprometido.
Por otra parte, la firma revela que en los últimos meses otro de los ataques que está ejecutando este grupo comúnmente se debe a una vulnerabilidad presente en Internet Explorer, la vulnerabilidad CVE-2020-0968, que permite que el servidor de C&C entregue un archivo RTF que, una vez abierto, descarga un archivo HTML utilizado para explotar la vulnerabilidad antes mencionada e infectar el equipo. El exploit CVE-2020-0968, que es una de las vulnerabilidades reveladas de Internet Explorer en los últimos 2 años, guarda bastante similitud con las vulnerabilidades explotadas por otros grupos de ataque, como DarkHotel y Operation Domino, por lo que ESET asume que estos grupos comparten el mismo intermediario para obtener los exploits.
ESET concluye que XDSpy utiliza diversos programas maliciosos que son relativamente simples y no muestran el uso de técnicas avanzadas, pero que resultan bastante efectivas para cumplir con sus objetivos. La firma de seguridad continuará con las investigaciones y el seguimiento de las actividades de ataque de este grupo APT tan particular.
Continúa leyendo: Anubis, el nuevo malware capaz de robar las credenciales de un monedero de criptomonedas