Группировка XDSpy более 9 лет похищала секреты властей восточноевропейских стран

[Artifact]

В основном целью XDSpy являются госорганы, включая военные ведомства и министерства внутренних дел, а также частные компании.

Специалисты ИБ-компании ESET https://www.welivesecurity.com/2020/...ts-since-2011/информацию о хакерской группировке, которая с 2011 года занималась кражей важной информации у правительств и компаний из стран Восточной Европы и Балканского полуострова. Примечательно, что более девяти лет деятельность группировки, получившей название XDSpy, оставалась практически незамеченной, за исключением https://cert.by/?p=1458, выпущенного белорусским CERT в феврале 2020 года.
В основном целью XDSpy являются госорганы, включая военные ведомства и министерства внутренних дел, а также частные компании, расположенные в Восточной Европе и на Балканах. Специалисты пока выявили единственный вектор атак, используемый хакерами для компрометации жертв, - целевые фишинговые письма, содержащие как вредоносные вложения, так и ссылки на вредоносные файлы.
При переходе по вредоносной ссылке на компьютер устанавливается вредоносное ПО XDDown - загрузчик, загружающий дополнительные вредоносные модули, в частности XDRecon (собирает информацию о целевом устройстве), XDList (служит для поиска интересных документов, также может делать скриншоты), XDMonitor (функционирует по аналогии с XDList) и XDUpload (извлекает вшитый список файлов из файловой системы и загружает его на управляющий сервер).
Кроме того, с конца июня 2020 года группировка использует эксплоит для уязвимости ( https://www.securitylab.ru/vulnerability/506628.php ) в устаревшем JavaScript движке в браузере Internet Explorer. На тот момент PoC-кодов или информации об этой уязвимости в открытом доступе практически не было. Как полагают эксперты, группировка могла либо приобрести эксплоит у брокера, либо создать его самостоятельно. К слову, в начале сентября нынешнего года специалисты ClearSky https://www.securitylab.ru/news/512642.phpвредоносный RTF-файл, загруженный на VirusTotal из Беларуси, эксплуатирующий ту же уязвимость.
По словам исследователей, используемый в атаках XDSpy эксплоит имеет схожие характеристики с инструментами, примененными в кампаниях DarkHotel и Operation Domino, однако ESET не обнаружила связи между этими тремя группировками. По всей видимости, они просто пользуются услугами одного и того же брокера эксплоитов, полагают эксперты.