XDSpy 黑客组织九年无人知晓,重点任务是侦察和文件盗取

Simpson 2020-10-11
专栏 - 资讯 发布于 2020-10-11 17:57:52 阅读 152 评论 0

XDSpy黑客组织自2011年以来一直有所行动,但直到今年才为人所知。该黑客组织的目标是白俄罗斯、摩尔多瓦、俄罗斯、塞尔维亚和乌克兰的政府和私人公司。

斯洛伐克网络安全公司ESET新发现了一支黑客国家队(也称为APT)。这个名为XDSpy的组织在网络安全领域很是罕见,因为在今年早些时候其黑客行动暴露之前,近九年时间里安全界竟对之毫无所觉。

Virus Bulletin 2020 安全大会的演讲中,ESET研究人员首次描述了XDSpy的行动。

ESET称,该组织的重点任务是侦察和文件盗取。其目标一直是东欧和巴尔干地区的政府机构和私营公司。

根据ESET的遥测数据,目标国家包括白俄罗斯、摩尔多瓦、俄罗斯、塞尔维亚和乌克兰,但XDSpy的其他黑客行动可能仍未被发现。

ESET称,白俄罗斯计算机应急响应小组(CERT Belarus)在安全警报中披露了该组织被检测到的一次行动后,这个黑客组织的行动就深藏不露了。

ESET表示,可以根据安全警报中的初步线索,挖掘出XDSpy以往的行动。负责调查XDSpy的两位ESET安全研究人员Matthieu Faou和Francis Labelle称,该组织的主要工具是一个名为XDDown的恶意软件工具箱。

Faou向媒体透露,这款“不怎么先进”的恶意软件足以感染受害者,并帮助此黑客组织从受感染目标处收集敏感数据。

XDDown相当于“下载器”,用于感染受害者,然后下载可以执行各种特殊任务的二级模块。

这种操作阻止了安全工具将XDDown自身检测为恶意软件,使得该软件具备了某些相当高级的功能。XDDown模块包含:

  • XDREcon模块 - 用于扫描受感染的主机,收集技术规格和操作系统详细信息,并将数据发送回XDDown/XDSpy命令与控制服务器。

  • XDList模块 - 用于在受感染的计算机中搜索具有特定扩展名的文件(与Office相关的文件、PDF和地址簿)。

  • XDMonitor模块 - 用于监视受感染主机连接了哪种设备。

  • XDUpload模块 - 用于将XDList模块标识的文件上传到XDSpy服务器。

  • XDLoc模块 - 用于收集附近WiFi网络的信息,借助公共Wi-Fi网络地图跟踪受害者的活动。

  • XDPass模块 - 用于从本地安装的浏览器中提取密码。

至于受害者是如何被感染的,XDSpy的操作并非独创,只是使用了鱼叉式网络钓鱼这种久经考验的技术。

在ESET分析的黑客行动中,该黑客组织使用了与失物招领和新冠病毒疫情相关的诱饵电子邮件主题行。这些电子邮件带有Powerpoint、JavaScript、ZIP或快捷方式(LNK)等格式的恶意附件。下载运行这些附件通常会使受害者感染上恶意软件。

根据该恶意软件的功能、其有限的分发,以及针对政府机构(包括军队和外交部)的特性,ESET认为XDSpy组织明显是APT(高级持续性威胁),也就是网络安全行业眼中代表外国政府开展间谍和情报收集活动的黑客组织。

但ESET并未透露该组织代表的是哪国政府。目标国家通常是俄罗斯和北约国家的焦点地区。不过,ESET指出,很多XDSpy恶意软件样本的编译时间落在东欧时区。

该组织恶意软件中的某些细节也支持其APT分类,包括很多插件不含驻留机制:意味着作为主体的XDDown恶意软件须在计算机重启后重新下载每个模块。

而且,XDDown的一些插件还带有基于时间的死亡开关,可以在特定日期之后自我清除。

这两个功能表明,XDSpy优先考虑隐身而不是持久性,想要保持不被发现,避免暴露其工具,这是许多国家支持的黑客组织惯用的策略和作案手法。

Faou在本周给媒体的一封电子邮件中表示:“因此,他们同一个代码库能用9年,同时能够通过调整混淆来规避某些安全产品。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!