Domov Novinky Skupina XDSpy špehuje inštitúcie vo východnej Európe

Skupina XDSpy špehuje inštitúcie vo východnej Európe

Zdielať

Skupina je aktívna už deväť rokov, napriek tomu sa ju podarilo odhaliť až teraz, úspech si na konto pripísal ESET.

Na zoznam APT skupín pribudla zatiaľ nikomu nepripísaná XDSpy, ktorá má byť aktívna už od roku 2011. Podľa najnovších zistení výskumníkov z firmy ESET má ísť o špiónov zameriavajúcich sa na krádež citlivých dokumentov od diplomatov, vojenského personálu či akademických inštitúcií z východnej Európy. Medzi zasiahnuté krajiny patrí Rusko, Bielorusko, Ukrajina, Moldavsko a Srbsko. Kyberzločinci obetiam zasielajú spear-phishingové maily s prílohou alebo odkazom na stiahnutie archívu vo formáte ZIP alebo RAR, ktorý obsahuje odkazovací LNK súbor. Po dvojitom kliknutí naň si obeť nevedomky nainštaluje hlavný malvérový skript XDDown a následne niekoľko dodatočných pluginov.

Ich úlohou je zhromažďovať informácie zo systému, C: disku, externých zariadení, lokálnych súborov, identifikátorov blízkych WiFi sietí či hesiel z prehliadača. V súlade s celosvetovým trendom naberali phishingové aktivity skupiny na dynamike aj počas celosvetovej pandémie. S niekoľkomesačným rozostupom mierili najskôr na bieloruské inštitúcie, neskôr sa cieľom stali rusky-hovoriace krajiny. Po krátkej prestávke od marca do júna 2020, špionážna kampaň pokračovala. Záškodníci po novom šírili škodlivý textový RTF dokument. Ten po otvorení do zariadenia stiahol HTML súbor, ktorý zneužíval kritickú zraniteľnosť CVE-2020-0968.

Tá spočívala v chybnej konfigurácii pamäte webového prehliadača Internet Explorer a útočníkovi umožňovala vzdialený prístup s právami prihláseného používateľa. Microsoft však spomínanú medzeru zaplátal až v apríli. Výskumníci sa domnievajú, že XDSpy si exploit zakúpili. V tejto súvislosti poukazujú na podobnosť skriptu s kampaňou DarkHotel a operáciou Domino – mohlo teda ísť o rovnakého predajcu.

Zdroj: CS