Uma investigação da ESET revela a existência de um novo grupo APT, chamado XDSpy, que opera há quase 10 anos roubando documentos confidenciais de governos europeus.
ESET, uma das empresas de segurança informática mais reconhecidas em todo o mundo, publicou um denunciar recente onde revela a existência de um grupo de APT (Ameaça Persistente Avançada) que orquestrou um grande número de ataques de forma furtiva contra muitas agências governamentais, empresas e empresas privadas localizadas em países da Europa de Leste e dos Balcãs.
O grupo, conhecido como XDSpyÉ operando desde 2011, mas passou despercebido pelas autoridades. A empresa de segurança observa que apenas a Equipa de Resposta a Emergências Informáticas da Bielorrússia (CERT) relatou um ataque semelhante por um grupo ATP em Fevereiro de 2020. Comunicado, o CERT informou que detectou outra campanha de distribuição de malware, que envia software malicioso a funcionários públicos reais através de seus e-mails, comprometendo os dados confidenciais que eles gerenciam. O CERT destacou que o principal vetor de ataque desses grupos são funcionários oficiais de órgãos e entidades governamentais. A ESET vincula esses ataques ao grupo XDSpy recentemente descoberto.
Você pode estar interessado: ESET descobre nova família de malware capaz de minerar e roubar criptomoedas
Os principais objetivos do XCSpy
“Os alvos de ataque do grupo XDSpy estão localizados na Europa Oriental e nos Balcãs e são principalmente entidades governamentais, incluindo militares, Ministérios dos Negócios Estrangeiros e empresas privadas”
A pesquisa da ESET sugere que o XDSpy tem como alvo principal essas agências governamentais em países da Europa Oriental, como Bielorrússia, Moldávia, Rússia, Sérvia e Ucrânia. Além disso,
Da mesma forma, a empresa de segurança não conseguiu vincular os ataques XDSpy a outros ataques de malware conhecidos, observando que se trata de um grupo bastante único que aplica diferentes métodos de ataque, desde e-mails até ataques. Phishing até mesmo o vazamento de spyware.
Quase 10 anos de atividade despercebida
O mais preocupante que a ESET revela é que o XDSpy está operacional desde pelo menos 2011 e que tem orquestrado ataques com ferramentas muito básicas mas eficazes que o ocultaram da vista do público. Até o momento, há muito pouca informação documentada sobre este grupo de ciberespionagem, algo que para a empresa de segurança é muito raro, já que o grupo de ataque tem quase 10 anos de atividades ilícitas.
Da mesma forma, a pesquisa da ESET indica que o ecossistema de malware XDSpy consiste em pelo menos sete spywares, como: XD Down, XDRecon, Lista XDL, Monitor XDM, XDUpload, XDLoc y XDPass, destinado a coletar informações pessoais de computadores comprometidos, rastrear e exfiltrar documentos e caminhos de arquivos específicos, monitorar unidades removíveis, armazenar senhas de acesso a aplicativos e contas e muito mais. Por meio desses softwares, o grupo vem monitorando drives removíveis de órgãos governamentais, fazendo capturas de tela e vazando documentos confidenciais.
A ESET também revela que encontrou um módulo personalizado no ATP, provavelmente com o objetivo de coletar identificadores de pontos de acesso Wi-Fi próximos para localizar máquinas e equipamentos comprometidos. Da mesma forma, a ESET revela que este grupo de ataque utiliza utilitários NirSoft para recuperar palavras-passe de navegadores web e clientes de e-mail, o que sem dúvida revela o objetivo desta campanha de malware.
Phishing e malware
Alguns dos e-mails enviados pelo grupo XDSpy a funcionários de agências governamentais contêm anexos, enquanto outros contêm links para algum arquivo malicioso ou infectado por malware. Os e-mails podem conter arquivos ZIP ou RAR, que contêm um arquivo LNK que baixa um script adicional que instala diretamente o software XDDown no computador comprometido.
Por outro lado, a empresa revela que nos últimos meses outro dos ataques que este grupo vem realizando é normalmente devido a uma vulnerabilidade presente no Internet Explorer, a vulnerabilidade CVE-2020-0968, que permite ao servidor C&C entregar um arquivo RTF que, uma vez aberto, baixa um arquivo HTML usado para explorar a vulnerabilidade mencionada e infectar o computador. A exploração CVE-2020-0968, que é uma das vulnerabilidades reveladas no Internet Explorer nos últimos 2 anos, é bastante semelhante às vulnerabilidades exploradas por outros grupos de ataque, como Hotel escuro y Divisão de Dominó, então a ESET assume que esses grupos compartilham o mesmo corretor para obter as explorações.
A ESET conclui que o XDSpy utiliza vários programas maliciosos que são relativamente simples e não utilizam técnicas avançadas, mas são bastante eficazes para atingir os seus objetivos. A empresa de segurança continuará investigando e monitorando as atividades de ataque deste grupo APT muito específico.
Continue lendo: Anubis, o novo malware capaz de roubar as credenciais de uma carteira de criptomoeda
