• ГлавнаяНовостиНовостиНовости, 202010Новости, 202010 → Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

      Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали

      Выявлена хакерская группировка XDSpy, которая долгие годы специализировалась на атаках на госведомства стран Восточной Европы. Ее операторы, вероятнее всего, проживают примерно там же, где и жертвы.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Видишь шпиона? А он есть

Эксперты компании ESET опубликовали исследование в отношении кибершпионской группировки XDSpy, атаковавшей страны Восточной Европы. На протяжении девяти лет ей каким-то образом удавалось оставаться незамеченной.

Группировка получила название XDSpy в связи с тем, что во всех атаках, которые она производила, использовался один и тот же компонент под названием XDDown — исполняемый файл, которых осуществлял скачивание других вредоносных модулей. Жертвы кампании выявлены в России, Белоруссии, Молдавии, Сербии и на Украине; в основном это государственные органы и военные учреждения, хотя есть и ряд частных компаний.

До анализа ESET Центр реагирования на киберугрозы Белоруссии CERT.BY опубликовал краткий отчет о рассылке вредоносного ПО, получателями которого стали более чем сто человек — сотрудники госучреждений (в том числе нескольких министерств), физические лица и представители разных организаций.

Сотрудникам CERT.BY удалось установить один из контрольных серверов, использовавшихся в атаках. Эксперты ESET указали в числе C&C-серверов XDSpy.

Кибершпионская кампания девять лет оставалась незамеченной

Проанализировав вредоносный код, использовавшийся в атаках, сетевую инфраструктуру и выбор жертв, исследователи ESET пришли к выводу, что XDSpy не пересекается в своей деятельности ни с одной известной APT-группировкой.

«Мы считаем, что операторы могут работать в часовых поясах UTC+2 или UTC+3, то есть, примерно там же, где располагаются их жертвы. Мы также заметили, что они работают с понедельника по пятницу, что указывает на профессиональный характер их деятельности», — говорится в отчете ESET.

И снова о фишинге

Сам по себе процесс заражения начинается со спиэр-фишинговых (то есть, предельно узконаправленных) писем, содержащих архив ZIP или RAR или ссылку на внешний источник, откуда его предлагается скачать. Архив содержит файл LNK, который, в свою очередь, закачивает на целевую систему скрипт, устанавливающий XDDown. Этот компонент затем докачивает дополнительные модули с одного из контрольных серверов.

Среди выявленных модулей — программа XDRecon, предназначенная для сбора базовой информации о целевой системе, XDList — сборщик информации о файлах, которые могут интересовать злоумышленников (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab), XDMonitor — средство отслеживания и кражи файлов со съемных накопителей, XDUpload, инструмент для вывода фиксированного набора файлов из целевой системы, XDLoc — модуль для сбора идентификаторов SSID из сетевого окружения, и XDPass — модуль, крадущий пароли.

В июне 2020 г. было отмечено использование эксплойтов к уязвимости CVE-2020-0968, выявленной в InternetExplorer. Патчи к ней были доступны еще в апреле, при этом информации о самой уязвимости в открытом доступе было мало. Издание Bleeping Computer указывает, что о пробных эксплойтах на тот момент не было известно. В ESET предполагают, что используемый «боевой» эксплойт был либо написан с нуля самими операторами, либо приобретен у каких-то брокеров.

На вероятность второго варианта указывает определенное сходство этого эксплойта с теми, которыми пользовалась APT-группировка DarkHotel, притом, что других связей между XDSpy и DarkHotel не наблюдается. Возможно, впрочем, обе группировки пользовались услугами одного и того же брокера или разработчика эксплойтов.

«Тот факт, что XDSpy оставался незамеченным столь долгий срок, сегодня уже можно назвать необычным, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это связано, скорее всего, с тем, что его операторы использовали преимущественно (или исключительно) собственные разработки, а не чужой код. Не исключено, что выдали они себя в итоге именно тем, что начали заниматься массовыми рассылками вредоносов. Чем более узконаправленными оказываются атаки, тем меньше вероятность их обнаружения».

Все ПК и мобильники с Wi-Fi с 1997 года беззащитны перед взломом

Выявлена и исправлена целая дюжина уязвимостей, часть из которых вызвана ошибками в архитектуре Wi-Fi. Уязвимы, по-видимому, все или подавляющее большинство устройств с поддержкой Wi-Fi....

IDC: восстановление на рынке смартфонов продолжается

По сравнению с первым кварталом 2020 года рынок вырос на 25,5%. Правда, это был один из худших периодов за всю историю, напоминают аналитики....

Мировые продажи ноутбуков показывают бешеный рост

Мировые продажи ноутбуков по итогам первого квартала 2021 г. выросли сразу на 81% и достигли 68,2 млн штук. Об этом сообщила исследовательская компания Strategy Analytics со ссылкой на итоги нового исследования рынка....

«Яндекс.Маркет»: продажи жестких дисков и SSD резко выросли

Аналитики связывают всплеск с выходом новой криптовалюты; россияне активно расширяют дисковое пространство для майнинга Chia....

Amazon нанимает тысячи сотрудников только для того, чтобы их поскорее уволить

Amazon заставляет руководителей и менеджеров своих подразделений специально увольнять своих сотрудников, чтобы поддерживать текучку кадров на нужном уровне. Для этого разработаны различные схемы, а некоторые руководители даже специально нанимают новы...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;width:90%;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202010Новости, 202010 → Хакеры на пятидневке девять лет атаковали госструктуры Европы, но их не замечали