Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Группировка XDSpy оставалась незамеченной 9 лет
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Группировка XDSpy оставалась незамеченной 9 лет

05.10.2020

Выступая на конференции Virus Bulletin 2020, специалисты компании ESET рассказали об обнаружении новой правительственной хак-группы XDSpy, которая активна как минимум с 2011 года. При этом на какое именно правительство работают хакеры, исследователи не уточнили.

Все прошедшие годы группировка незаметно атаковала государственные и частные компании в Беларуси, Молдове, России, Сербии и Украине. Список стран может быть неполон, так как многие кампании хакеров еще явно предстоит обнаружить. Основное внимание группировка уделяет разведке и хищению документации.

Исследователи ESET сообщили, что в настоящее время активность XDSpy прекратилась, и произошло это после предупреждения, опубликованного белорусским CERT в феврале текущего года. По сути, тогда эксперты обнаружили одну из вредоносных кампаний хакеров, которая и была детально описана в документе. Именно информация белорусского CERT стала отправной точкой для начала расследования ESET и помогла аналитикам обнаружить прошлые операции XDSpy.

Основным инструментом хак-группы был набор малвари под названием XDDown. Хотя вредонос, по словам исследователей, был не самым современным, его вполне хватало, чтобы заражать машины жертв и собирать конфиденциальные данные. В сущности XDDown представляет собой загрузчик, используемый для заражения и последующей загрузки разных дополнительных модулей, которые выполняют специализированные задачи.­ Именно из-за этой особенности, в числе прочего, защитные решения не обнаруживали XDDown. Среди модулей XDDown были обнаружены:

  • XDREcon: модуль для сканирования зараженного хоста, сбора технических данных и сведений об ОС и отправки информации на управляющий сервер;
  • XDList: модуль для поиска на зараженной машине файлов с определенными расширениями (файлы Office, PDF и адресные книги);
  • XDMonitor :­ модуль, отслеживающий, какие устройства были подключены к зараженному хосту;
  • XDUpload: модуль загружающий нужные файлы на управляющий сервер XDXpy;
  • XDLoc: модуль для сбора информации о ближайших сетях Wi-Fi, который использовался для отслеживания перемещений жертв с использованием общедоступных карт;
  • XDPass: модуль извлекающий пароли из локальных браузеров.

Распространялась малварь XDSpy по почте, при помощи направленных фишинговых атак. Так, известно, что группа использовала письма-приманки, связанные с потерянными и найденными предметами, а также пандемией коронавируса. Такие послания содержали вредоносные вложения, включая файлы Powerpoint, JavaScript, ZIP или ярлыки (LNK). Загрузка и запуск любого из таких файлов приводила к заражению.

По мнению специалистов, на тот факт, что XDSpy – это именно правительственная хак-группа, указывает ряд факторов. К примеру, вредоносные модули намеренно не имеют механизма устойчивости, то есть XDDown  приходилось повторно загружать каждый модуль после перезагрузки зараженной машины. Кроме того, некоторые плагины XDDown оснащались специальными «рубильниками», которые удаляли их после определенной даты. Все это говорит о том, что XDSpy делает ставку на скрытность, старается оставаться незамеченной и избегать раскрытия своих инструментов. Именно так обычно действуют правительственные хакеры.

«Таким образом они использовали одну и ту же кодовую базу в течение 9 лет, а также имели возможность обходить некоторые защитные продукты через обфускацию», — резюмируют специалисты.

На GitHub уже опубликованы индикаторы компрометации, включая все известные подробности об инфраструктуре XDSpy и их малвари.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Криминал
Опубликовал: shellmann
Просмотров: 282
Проголосовало через SMS: 0
Ключевые слова: cert, javascript, office, virus, eset, (найти похожие документы)
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Релиз ядра Linux 5.9
  • Российские хакеры вооружились уязвимостью Zerologon
  • Тысячи приватных звонков американских заключенных оказались в отк...
  • Шифровальщик атаковал немецкую компанию Software AG
  • Злоумышленники используют службу Windows Error Reporting для бесф...
  • Microsoft предупредила о вымогателях, которые выдают себя за МВД ...
  • Инфостилер Valak ворует информацию из почтовых систем Microsoft E...
  • GitLab обнаружил множество уязвимостей в исходном коде проектов с...
  • Хакеры используют службу WER в бесфайловых кибератаках
  • Ботнет HEH способен уничтожить все данные на IoT-девайсах

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / WEB сайтов » Re: взлом онлайн теста
  • Разное / Продам, отдам » Re: Продам базы 2ГИС (2gis) в форматах CSV, Excel, SQL
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Re: Нужна помощь в скачивании файла
  • Взлом и безопасность / Разное » Нужна помощь в скачивании файла
  • Разное / Предложения работы » требуется взлом почт на постоянной основе
  • Разное / Предложения работы » необходим взлом почты
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.
  • Взлом и безопасность / Новичкам » Re: Анализ открытых баз данных ElasticSearch (легкий гайд)
  • Взлом и безопасность / Новичкам » Re: Сборщик емэйлов "обрезает" адреса.

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}