Une enquête d'ESET révèle l'existence d'un nouveau groupe APT, appelé XDSpy, qui opère depuis près de 10 ans en volant des documents confidentiels aux gouvernements européens.
ESET, l'une des sociétés de sécurité informatique les plus reconnues au monde, a publié un signaler récent où il révèle l'existence d'un groupe de APT (menace persistante avancée) qui a orchestré un grand nombre d'attaques de manière furtive contre de nombreuses agences gouvernementales, entreprises et sociétés privées situées dans les pays d'Europe de l'Est et des Balkans.
Le groupe, connu sous le nom XDSpyEst d'exploitation depuis 2011 mais est restée inaperçue auprès des autorités. La société de sécurité note que seule l'équipe biélorusse d'intervention en cas d'urgence informatique (CERT) a signalé une attaque similaire perpétrée par un groupe ATP en février 2020. libérer, CERT a signalé avoir détecté une autre campagne de distribution de logiciels malveillants, qui envoie des logiciels malveillants à de vrais employés du gouvernement via leurs e-mails, compromettant ainsi les données confidentielles qu'ils traitent. Le CERT a souligné que les principaux vecteurs d'attaque de ces groupes sont les employés officiels des agences et entités gouvernementales. ESET relie ces attaques au groupe XDSpy récemment découvert.
Il peut vous intéresser: ESET découvre une nouvelle famille de malwares capables d'exploiter et de voler des crypto-monnaies
Les principaux objectifs de XCSpy
« Les cibles des attaques du groupe XDSpy sont situées en Europe de l'Est et dans les Balkans et sont principalement des entités gouvernementales, notamment l'armée, les ministères des Affaires étrangères et des entreprises privées. »
Les recherches d'ESET suggèrent que XDSpy cible principalement ces agences gouvernementales dans les pays d'Europe de l'Est tels que la Biélorussie, la Moldavie, la Russie, la Serbie et l'Ukraine. En outre,
De même, la société de sécurité n'a pas pu associer les attaques XDSpy à d'autres attaques de logiciels malveillants connues, notant qu'il s'agit d'un groupe plutôt unique qui applique différentes méthodes d'attaque, allant des e-mails aux attaques. phishing même la fuite de logiciels espions.
Près de 10 ans d'activité inaperçue
La chose la plus inquiétante révélée par ESET est que XDSpy est opérationnel depuis au moins 2011 et qu'il a orchestré des attaques avec des outils très basiques mais efficaces qui l'ont caché à la vue du public. À ce jour, il existe très peu d'informations documentées sur ce groupe de cyberespionnage, ce qui est très rare pour l'entreprise de sécurité, puisque le groupe d'attaque a près de 10 ans d'activité illicite.
De même, les recherches d'ESET indiquent que l'écosystème des logiciels malveillants XDSpy se compose d'au moins sept logiciels espions, tels que : XDDown, XDRecon, Liste XDL, XDMonitor, XDTélécharger, XDLoc y XDPasse, destiné à collecter des informations personnelles sur des ordinateurs compromis, à suivre et à exfiltrer des documents et chemins de fichiers spécifiques, à surveiller les lecteurs amovibles, à stocker les mots de passe d'accès aux applications et aux comptes, et bien plus encore. Grâce à ces logiciels, le groupe surveille les disques amovibles des agences gouvernementales, prend des captures d'écran et divulgue des documents confidentiels.
ESET révèle également avoir trouvé un module personnalisé dans ATP, probablement dans le but de collecter des identifiants de points d'accès Wi-Fi à proximité afin de localiser les machines et équipements compromis. De même, ESET révèle que ce groupe d'attaque utilise les utilitaires NirSoft pour récupérer les mots de passe des navigateurs Web et des clients de messagerie, ce qui révèle sans aucun doute l'objectif de cette campagne malveillante.
Phishing et logiciels malveillants
Certains des e-mails envoyés par le groupe XDSpy aux responsables des agences gouvernementales contiennent des pièces jointes, tandis que d'autres contiennent des liens vers des fichiers malveillants ou infectés par des logiciels malveillants. Les e-mails peuvent contenir des fichiers ZIP ou RAR, qui contiennent un fichier LNK qui télécharge un script supplémentaire qui installe directement le logiciel XDDown sur l'ordinateur compromis.
D'autre part, la société révèle qu'au cours des derniers mois, une autre des attaques menées par ce groupe est généralement due à une vulnérabilité présente dans Internet Explorer, la vulnérabilité CVE-2020-0968, qui permet au serveur C&C de délivrer un fichier RTF qui, une fois ouvert, télécharge un fichier HTML utilisé pour exploiter la vulnérabilité susmentionnée et infecter l'ordinateur. L'exploit CVE-2020-0968, qui est l'une des vulnérabilités révélées dans Internet Explorer au cours des 2 dernières années, est assez similaire aux vulnérabilités exploitées par d'autres groupes d'attaque, comme SombreHôtel y Opération Domino, ESET suppose donc que ces groupes partagent le même courtier pour obtenir les exploits.
ESET conclut que XDSpy utilise divers programmes malveillants relativement simples et n'utilisant pas de techniques avancées, mais assez efficaces pour atteindre leurs objectifs. La société de sécurité continuera d'enquêter et de surveiller les activités d'attaque de ce groupe APT très particulier.
Continuer la lecture: Anubis, le nouveau malware capable de voler les identifiants d'un portefeuille de cryptomonnaie
