• ГлавнаяНовостиНовостиНовости, 202010Новости, 202010 → Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

    Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

    Выявлена хакерская группировка XDSpy, которая долгие годы специализировалась на атаках на госведомства стран Восточной Европы. Ее операторы, вероятнее всего, проживают примерно там же, где и жертвы.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента


  • Группы: ВК | FB | Tw | OK
  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input[type=email],textarea{border-radius:3px;border:1px solid grey;margin:2px;width: 96%;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius: 4px;transition: 0.4s;}.buttons:hover {background-color: #4CAF50;color: white;box-shadow: 0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor: pointer;}

Видишь шпиона? А он есть

Эксперты компании ESET опубликовали исследование в отношении кибершпионской группировки XDSpy, атаковавшей страны Восточной Европы. На протяжении девяти лет ей каким-то образом удавалось оставаться незамеченной.

Группировка получила название XDSpy в связи с тем, что во всех атаках, которые она производила, использовался один и тот же компонент под названием XDDown — исполняемый файл, которых осуществлял скачивание других вредоносных модулей. Жертвы кампании выявлены в России, Белоруссии, Молдавии, Сербии и на Украине; в основном это государственные органы и военные учреждения, хотя есть и ряд частных компаний.

До анализа ESET Центр реагирования на киберугрозы Белоруссии CERT.BY опубликовал краткий отчет о рассылке вредоносного ПО, получателями которого стали более чем сто человек — сотрудники госучреждений (в том числе нескольких министерств), физические лица и представители разных организаций.

Сотрудникам CERT.BY удалось установить один из контрольных серверов, использовавшихся в атаках. Эксперты ESET указали в числе C&C-серверов XDSpy.

Кибершпионская кампания девять лет оставалась незамеченной

Проанализировав вредоносный код, использовавшийся в атаках, сетевую инфраструктуру и выбор жертв, исследователи ESET пришли к выводу, что XDSpy не пересекается в своей деятельности ни с одной известной APT-группировкой.

«Мы считаем, что операторы могут работать в часовых поясах UTC+2 или UTC+3, то есть, примерно там же, где располагаются их жертвы. Мы также заметили, что они работают с понедельника по пятницу, что указывает на профессиональный характер их деятельности», — говорится в отчете ESET.

И снова о фишинге

Сам по себе процесс заражения начинается со спиэр-фишинговых (то есть, предельно узконаправленных) писем, содержащих архив ZIP или RAR или ссылку на внешний источник, откуда его предлагается скачать. Архив содержит файл LNK, который, в свою очередь, закачивает на целевую систему скрипт, устанавливающий XDDown. Этот компонент затем докачивает дополнительные модули с одного из контрольных серверов.

Среди выявленных модулей — программа XDRecon, предназначенная для сбора базовой информации о целевой системе, XDList — сборщик информации о файлах, которые могут интересовать злоумышленников (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab), XDMonitor — средство отслеживания и кражи файлов со съемных накопителей, XDUpload, инструмент для вывода фиксированного набора файлов из целевой системы, XDLoc — модуль для сбора идентификаторов SSID из сетевого окружения, и XDPass — модуль, крадущий пароли.

В июне 2020 г. было отмечено использование эксплойтов к уязвимости CVE-2020-0968, выявленной в InternetExplorer. Патчи к ней были доступны еще в апреле, при этом информации о самой уязвимости в открытом доступе было мало. Издание Bleeping Computer указывает, что о пробных эксплойтах на тот момент не было известно. В ESET предполагают, что используемый «боевой» эксплойт был либо написан с нуля самими операторами, либо приобретен у каких-то брокеров.

На вероятность второго варианта указывает определенное сходство этого эксплойта с теми, которыми пользовалась APT-группировка DarkHotel, притом, что других связей между XDSpy и DarkHotel не наблюдается. Возможно, впрочем, обе группировки пользовались услугами одного и того же брокера или разработчика эксплойтов.

«Тот факт, что XDSpy оставался незамеченным столь долгий срок, сегодня уже можно назвать необычным, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это связано, скорее всего, с тем, что его операторы использовали преимущественно (или исключительно) собственные разработки, а не чужой код. Не исключено, что выдали они себя в итоге именно тем, что начали заниматься массовыми рассылками вредоносов. Чем более узконаправленными оказываются атаки, тем меньше вероятность их обнаружения».

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202010Новости, 202010 → Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

В «Одноклассниках» открылся колл-центр для жителей Санкт-Петербурга и области

Жители Санкт-Петербурга и Ленинградской области смогут решить свои жизненные и бытовые вопросы с помощью горячей линии в «Одноклассниках». Это стало возможным после внедрения в ОК онлайн-консультаций от Единой справочной службы СПб 122 на базе платфо...

Gartner: каждая вторая компания готова увеличить вложения в Интернет вещей

Соответствующий практический опыт у большинства организаций пока невелик, но он показывает, что подобные проекты стабильно окупаются в запланированный срок, отмечают аналитики....

«Вконтакте» запускает бесплатный конструктор сайтов на основе сообществ

«Вконтакте» представляет простой конструктор сайтов для бизнеса — с его помощью каждый может бесплатно и с любого устройства создать полноценный лендинг. Все, что для этого нужно, — собственное сообщество, которое и станет основой будущего сайта. Нас...

Слух: В Apple намерены заменить Google на собственный поисковик

Google якобы выплачивает Apple миллиарды долларов за статус поисковика по умолчанию в браузере Safari. В минюсте США видят в этом потенциальное нарушение антимонопольного законодательства....

Wildberries запустит продажи свежих продуктов питания и экспресс-доставку

Wildberries сообщает о запуске схемы поставок fulfillment by sellers (FBS), благодаря которой продавцы онлайн-площадки смогут перейти на самую низкую торговую комиссию Wildberries в размере 5%, а также предложить покупателям практически неограниченны...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |