Na zoznam APT skupín pribudla zatiaľ nikomu nepripísaná XDSpy, ktorá má byť aktívna už od roku 2011. Podľa najnovších zistení výskumníkov z firmy ESET má ísť o špiónov zameriavajúcich sa na krádež citlivých dokumentov od diplomatov, vojenského personálu či akademických inštitúcií z východnej Európy. Medzi zasiahnuté krajiny patrí Rusko, Bielorusko, Ukrajina, Moldavsko a Srbsko.
#ESETresearch uncovered #XDSpy, a new APT group active since 2011. Over the years, it has compromised many governments in Belarus, Moldova, Russia, Ukraine and Serbia. We found that the initial compromise vector is a spearphishing email. https://t.co/COtiwKeTZr @matthieu_faou pic.twitter.com/pfmRg1AVuV
— ESET research (@ESETresearch) October 2, 2020
Kyberzločinci obetiam zasielajú spear-phishingové maily s prílohou alebo odkazom na stiahnutie archívu vo formáte ZIP alebo RAR, ktorý obsahuje odkazovací LNK súbor. Po dvojitom kliknutí naň si obeť nevedomky nainštaluje hlavný malvérový skript XDDown a následne niekoľko dodatočných pluginov.
Ich úlohou je zhromažďovať informácie zo systému, C: disku, externých zariadení, lokálnych súborov, identifikátorov blízkych WiFi sietí či hesiel z prehliadača.
(Zdroj: ESET)
Ticho pred búrkou
V súlade s celosvetovým trendom naberali phishingové aktivity skupiny na dynamike aj počas celosvetovej pandémie. S niekoľkomesačným rozostupom mierili najskôr na bieloruské inštitúcie, neskôr sa cieľom stali rusky-hovoriace krajiny.
Po krátkej prestávke od marca do júna 2020, špionážna kampaň pokračovala. Záškodníci po novom šírili škodlivý textový RTF dokument. Ten po otvorení do zariadenia stiahol HTML súbor, ktorý zneužíval kritickú zraniteľnosť CVE-2020-0968.
Tá spočívala v chybnej konfigurácii pamäte webového prehliadača Internet Explorer a útočníkovi umožňovala vzdialený prístup s právami prihláseného užívateľa. Microsoft však spomínanú medzeru zaplátal až v apríli.
Vydali sa na nákupy
Výskumníci sa domnievajú, že XDSpy si exploit zakúpili. V tejto súvislosti poukazujú na podobnosť skriptu s kampaňou DarkHotel a operáciou Domino – mohlo teda ísť o rovnakého predajcu.
(Zdroj: ESET)
Klára Kaničárová