Видишь шпиона? А он есть
Эксперты компании ESET опубликовали исследование в отношении кибершпионской группировки XDSpy, атаковавшей страны Восточной Европы. На протяжении девяти лет ей каким-то образом удавалось оставаться незамеченной.
Группировка получила название XDSpy в связи с тем, что во всех атаках, которые она производила, использовался один и тот же компонент под названием XDDown — исполняемый файл, которых осуществлял скачивание других вредоносных модулей. Жертвы кампании выявлены в России, Белоруссии, Молдавии, Сербии и на Украине; в основном это государственные органы и военные учреждения, хотя есть и ряд частных компаний.
До анализа ESET Центр реагирования на киберугрозы Белоруссии CERT.BY опубликовал краткий отчет о рассылке вредоносного ПО, получателями которого стали более чем сто человек — сотрудники госучреждений (в том числе нескольких министерств), физические лица и представители разных организаций.
Сотрудникам CERT.BY удалось установить один из контрольных серверов, использовавшихся в атаках. Эксперты ESET указали в числе C&C-серверов XDSpy.
Кибершпионская кампания девять лет оставалась незамеченнойПроанализировав вредоносный код, использовавшийся в атаках, сетевую инфраструктуру и выбор жертв, исследователи ESET пришли к выводу, что XDSpy не пересекается в своей деятельности ни с одной известной APT-группировкой.
«Мы считаем, что операторы могут работать в часовых поясах UTC+2 или UTC+3, то есть, примерно там же, где располагаются их жертвы. Мы также заметили, что они работают с понедельника по пятницу, что указывает на профессиональный характер их деятельности», — говорится в отчете ESET.
И снова о фишингеСам по себе процесс заражения начинается со спиэр-фишинговых (то есть, предельно узконаправленных) писем, содержащих архив ZIP или RAR или ссылку на внешний источник, откуда его предлагается скачать. Архив содержит файл LNK, который, в свою очередь, закачивает на целевую систему скрипт, устанавливающий XDDown. Этот компонент затем докачивает дополнительные модули с одного из контрольных серверов.
Среди выявленных модулей — программа XDRecon, предназначенная для сбора базовой информации о целевой системе, XDList — сборщик информации о файлах, которые могут интересовать злоумышленников (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab), XDMonitor — средство отслеживания и кражи файлов со съемных накопителей, XDUpload, инструмент для вывода фиксированного набора файлов из целевой системы, XDLoc — модуль для сбора идентификаторов SSID из сетевого окружения, и XDPass — модуль, крадущий пароли.
В июне 2020 г. было отмечено использование эксплойтов к уязвимости CVE-2020-0968, выявленной в InternetExplorer. Патчи к ней были доступны еще в апреле, при этом информации о самой уязвимости в открытом доступе было мало. Издание Bleeping Computer указывает, что о пробных эксплойтах на тот момент не было известно. В ESET предполагают, что используемый «боевой» эксплойт был либо написан с нуля самими операторами, либо приобретен у каких-то брокеров.
На вероятность второго варианта указывает определенное сходство этого эксплойта с теми, которыми пользовалась APT-группировка DarkHotel, притом, что других связей между XDSpy и DarkHotel не наблюдается. Возможно, впрочем, обе группировки пользовались услугами одного и того же брокера или разработчика эксплойтов.
«Тот факт, что XDSpy оставался незамеченным столь долгий срок, сегодня уже можно назвать необычным, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Это связано, скорее всего, с тем, что его операторы использовали преимущественно (или исключительно) собственные разработки, а не чужой код. Не исключено, что выдали они себя в итоге именно тем, что начали заниматься массовыми рассылками вредоносов. Чем более узконаправленными оказываются атаки, тем меньше вероятность их обнаружения».