Un'indagine ESET rivela l'esistenza di un nuovo gruppo APT, chiamato XDSpy, che opera da quasi 10 anni rubando documenti riservati ai governi europei.
ESET, una delle società di sicurezza informatica più riconosciute a livello mondiale, ha pubblicato un segnalare recente dove rivela l'esistenza di un gruppo di APT (minaccia persistente avanzata) che ha orchestrato un gran numero di attacchi furtivi contro numerose agenzie governative, imprese e società private situate nei paesi dell’Europa orientale e dei Balcani.
Il gruppo, noto come XDSpyÈ operativo dal 2011 ma è rimasto inosservato dalle autorità. La società di sicurezza rileva che solo il Computer Emergency Response Team (CERT) bielorusso ha segnalato un attacco simile da parte di un gruppo ATP nel febbraio 2020. comunicazione, il CERT ha riferito di aver rilevato un'altra campagna di distribuzione di malware, che invia software dannoso a veri dipendenti governativi tramite le loro e-mail, compromettendo i dati riservati da loro gestiti. Il CERT ha evidenziato che il principale vettore di attacco di questi gruppi sono i dipendenti ufficiali di agenzie ed enti governativi. ESET collega questi attacchi al gruppo XDSpy scoperto di recente.
Si può essere interessati: ESET scopre una nuova famiglia di malware in grado di estrarre e rubare criptovalute
Gli obiettivi principali di XCSpy
"Gli obiettivi degli attacchi del gruppo XDSpy si trovano nell'Europa dell'Est e nei Balcani e sono principalmente enti governativi, tra cui militari, ministeri degli Esteri e società private"
La ricerca ESET suggerisce che XDSpy prende di mira principalmente queste agenzie governative nei paesi dell’Europa orientale come Bielorussia, Moldavia, Russia, Serbia e Ucraina. Inoltre,
Allo stesso modo, l'azienda di sicurezza non è riuscita a collegare gli attacchi XDSpy con altri attacchi malware noti, sottolineando che si tratta di un gruppo piuttosto unico che applica diversi metodi di attacco, che vanno dalle e-mail agli attacchi phishing anche la fuga di spyware.
Quasi 10 anni di attività inosservata
La cosa più preoccupante rivelata da ESET è che XDSpy è operativo almeno dal 2011 e che ha orchestrato attacchi con strumenti molto semplici ma efficaci che lo hanno nascosto alla vista del pubblico. Ad oggi, ci sono pochissime informazioni documentate su questo gruppo di cyberspionaggio, cosa che per l’azienda di sicurezza è molto rara, dato che il gruppo d’attacco ha quasi 10 anni di attività illecita.
Allo stesso modo, la ricerca ESET indica che l'ecosistema malware XDSpy è costituito da almeno sette spyware, tra cui: XDDù, XDRecon, XDList, XDMonitor, XDUcarica, XDLoc y XDPass, destinato a raccogliere informazioni personali da computer compromessi, tracciare ed esfiltrare documenti e percorsi di file specifici, monitorare unità rimovibili, archiviare password di accesso ad applicazioni e account e molto altro. Attraverso questi software, il gruppo ha monitorato le unità rimovibili delle agenzie governative, acquisendo screenshot e divulgando documenti riservati.
ESET rivela inoltre di aver trovato un modulo personalizzato nell'ATP, probabilmente con l'obiettivo di raccogliere identificatori dai punti di accesso Wi-Fi vicini per individuare macchine e apparecchiature compromesse. Allo stesso modo, ESET rivela che questo gruppo di attacco utilizza le utility NirSoft per recuperare le password dai browser Web e dai client di posta elettronica, il che rivela senza dubbio l'obiettivo di questa campagna malware.
Phishing e malware
Alcune delle e-mail inviate dal gruppo XDSpy ai funzionari delle agenzie governative contengono allegati, mentre altre contengono collegamenti a file dannosi o infetti da malware. Le e-mail possono contenere file ZIP o RAR, che contengono un file LNK che scarica uno script aggiuntivo che installa direttamente il software XDDown sul computer compromesso.
D'altra parte, l'azienda rivela che negli ultimi mesi un altro degli attacchi che questo gruppo sta realizzando è comunemente dovuto ad una vulnerabilità presente in Internet Explorer, la vulnerabilità CVE-2020-0968, che consente al server C&C di consegnare un file RTF che, una volta aperto, scarica un file HTML utilizzato per sfruttare la suddetta vulnerabilità e infettare il computer. L'exploit CVE-2020-0968, che è una delle vulnerabilità rivelate in Internet Explorer negli ultimi 2 anni, è abbastanza simile alle vulnerabilità sfruttate da altri gruppi di attacco, come DarkHotel y Funzionamento Domino, quindi ESET presuppone che questi gruppi condividano lo stesso broker per ottenere gli exploit.
ESET conclude che XDSpy utilizza vari programmi dannosi che sono relativamente semplici e non utilizzano tecniche avanzate, ma sono abbastanza efficaci nel raggiungere i loro obiettivi. L'azienda di sicurezza continuerà a indagare e monitorare le attività di attacco di questo particolare gruppo APT.
Continua a leggere: Anubis, il nuovo malware in grado di rubare le credenziali di un portafoglio di criptovalute


