Dochodzenie ESET ujawniło istnienie nowej grupy APT o nazwie XDSpy, która od prawie 10 lat kradnie poufne dokumenty rządom europejskim.
ESET, jedna z najbardziej rozpoznawalnych na świecie firm zajmujących się bezpieczeństwem komputerowym, opublikowała informe ostatnio, gdzie ujawnia istnienie grupy APT (zaawansowane trwałe zagrożenie) która zorganizowała potajemnie dużą liczbę ataków na wiele agencji rządowych, przedsiębiorstw i firm prywatnych zlokalizowanych w krajach Europy Wschodniej i na Bałkanach.
Grupa, tzw XDSszpiegjest operacyjny od 2011 r., lecz pozostaje niezauważony przez władze. Firma ochroniarska zauważa, że jedynie białoruski zespół reagowania na incydenty komputerowe (CERT) zgłosił podobny atak grupy ATP w lutym 2020 r. W swoim raporcie przekazaneCERT poinformował, że wykrył kolejną kampanię dystrybucji złośliwego oprogramowania, w ramach której złośliwe oprogramowanie wysyłane jest do prawdziwych pracowników rządowych za pośrednictwem ich e-maili, naruszając poufne dane, którymi się posługują. CERT podkreślił, że głównym wektorem ataku tych grup są oficjalni pracownicy agencji i podmiotów rządowych. ESET łączy te ataki z niedawno odkrytą grupą XDSpy.
Może Cię zainteresować: ESET odkrywa nową rodzinę złośliwego oprogramowania zdolnego do wydobywania i kradzieży kryptowalut
Główne cele XCSpy
„Cele ataków grupy XDSpy znajdują się w Europie Wschodniej i na Bałkanach i są to głównie podmioty rządowe, w tym wojsko, ministerstwa spraw zagranicznych i firmy prywatne”
Badania ESET sugerują, że XDSpy atakuje głównie agencje rządowe w krajach Europy Wschodniej, takich jak Białoruś, Mołdawia, Rosja, Serbia i Ukraina. Ponadto,
Podobnie firma zajmująca się bezpieczeństwem nie mogła powiązać ataków XDSpy z innymi znanymi atakami złośliwego oprogramowania, zauważając, że jest to raczej wyjątkowa grupa, która stosuje różne metody ataku, od wiadomości e-mail po ataki phishing nawet wyciek oprogramowania szpiegującego.
Prawie 10 lat niezauważonej działalności
Najbardziej niepokojącą rzeczą ujawnioną przez firmę ESET jest to, że XDSpy działa co najmniej od 2011 roku i organizuje ataki za pomocą bardzo prostych, ale skutecznych narzędzi, które ukrywają go przed widokiem publicznym. Jak dotąd istnieje bardzo niewiele udokumentowanych informacji na temat tej grupy cyberszpiegowskiej, co dla firmy zajmującej się bezpieczeństwem jest zjawiskiem bardzo rzadkim, ponieważ grupa atakująca prowadzi nielegalną działalność od prawie 10 lat.
Podobnie badania ESET wskazują, że ekosystem złośliwego oprogramowania XDSpy składa się z co najmniej siedmiu programów szpiegujących, takich jak: XDDół, XDRecon, Lista XDL, XDMonitor, XDPrześlij, XDLoc y XDPass, którego celem jest zbieranie danych osobowych z zaatakowanych komputerów, śledzenie i wydobywanie określonych dokumentów i ścieżek plików, monitorowanie dysków wymiennych, przechowywanie haseł dostępu do aplikacji i kont i wiele więcej. Za pomocą tego oprogramowania grupa monitorowała dyski wymienne agencji rządowych, wykonując zrzuty ekranu i ujawniając poufne dokumenty.
ESET ujawnia również, że znalazł niestandardowy moduł w ATP, prawdopodobnie którego celem było zbieranie identyfikatorów z pobliskich punktów dostępu Wi-Fi w celu zlokalizowania zainfekowanych maszyn i sprzętu. Podobnie ESET ujawnia, że ta grupa ataków wykorzystuje narzędzia NirSoft do odzyskiwania haseł z przeglądarek internetowych i klientów poczty e-mail, co niewątpliwie ujawnia cel tej kampanii szkodliwego oprogramowania.
Phishing i złośliwe oprogramowanie
Niektóre e-maile wysyłane przez grupę XDSpy do urzędników agencji rządowych zawierają załączniki, podczas gdy inne zawierają łącza do niektórych złośliwych lub zainfekowanych złośliwym oprogramowaniem plików. Wiadomości e-mail mogą zawierać pliki ZIP lub RAR, które zawierają plik LNK pobierający dodatkowy skrypt, który bezpośrednio instaluje oprogramowanie XDDown na zaatakowanym komputerze.
Z drugiej strony firma ujawnia, że w ostatnich miesiącach kolejny z ataków przeprowadzanych przez tę grupę jest zwykle spowodowany luką występującą w przeglądarce Internet Explorer, luką w zabezpieczeniach CVE-2020-0968, który umożliwia serwerowi C&C dostarczenie pliku RTF, który po otwarciu pobiera plik HTML używany do wykorzystania wspomnianej luki i zainfekowania komputera. Exploit CVE-2020-0968, będący jedną z luk ujawnionych w przeglądarce Internet Explorer w ciągu ostatnich 2 lat, jest dość podobny do luk wykorzystywanych przez inne grupy ataków, takie jak Ciemny Hotel y Działanie Domino, dlatego ESET zakłada, że te grupy korzystają z tego samego brokera w celu uzyskania exploitów.
ESET stwierdza, że XDSpy wykorzystuje różne szkodliwe programy, które są stosunkowo proste i nie wykorzystują zaawansowanych technik, ale są dość skuteczne w osiąganiu swoich celów. Firma ochroniarska będzie w dalszym ciągu badać i monitorować działania tej konkretnej grupy APT.
Kontynuuj czytanie: Anubis, nowe złośliwe oprogramowanie zdolne do kradzieży danych uwierzytelniających portfela kryptowalut
