网安 - 专业的网络安全产业、社区、知识平台

XDSpy:自 2011年以来一直在窃取政府机密

Andrew2020-10-09 11:16:43

很少见的APT小组九年来一直未被发现,但是XDSpy就是这样。这是一个自2011年以来一直没有活动的间谍活动团体。除2020年2月白俄罗斯CERT的咨询外,它几乎没有引起公众的注意。在此期间,该团体损害了东部的许多政府机构和私人公司欧洲和巴尔干半岛。

目标

XDSpy集团的目标位于东欧和巴尔干地区,主要是政府实体,包括军队和外交部以及私人公司。图1显示了根据ESET遥测已知受害者的位置。

XDSpy:自2011年以来一直在窃取政府机密

归因

经过仔细研究,我们无法将XDSpy链接到任何公开的APT组:

  • 我们没有发现与其他恶意软件家族有任何代码相似性。
  • 我们没有发现网络基础结构中有任何重叠。
  • 我们不知道有另一个针对这些特定国家和行业的APT小组。

此外,该小组已经活跃了九年多。因此,如果存在这样的重叠,我们相信很久以前就会注意到这一点,并且发现了该小组。

我们认为开发人员可能正在UTC + 2或UTC + 3时区工作,这也是大多数目标的时区。我们还注意到他们只在星期一至星期五工作,这表明是一项专业活动。

Compromise vectors

XDSpy运营商似乎主要是使用伪造的电子邮件来破坏其目标。实际上,这是我们观察到的唯一
Compromise vectors。但是,这些电子邮件可能会有所不同:有些包含附件,而另一些包含指向恶意文件的链接。恶意文件或附件的第一层通常是ZIP或RAR存档。

图2是2020年2月发送的XDSpy鱼叉式电子邮件的示例。

XDSpy:自2011年以来一直在窃取政府机密

电子邮件的内容经过粗略翻译,内容如下:

该链接指向一个包含LNK文件且没有任何诱饵文档的ZIP存档。当受害者双击它时,LNK将下载一个附加脚本,该脚本会安装主要恶意软件组件XDDown。

在将论文提交给Virus Bulletin之后,我们继续跟踪该小组,并且在2020年3月至2020年6月之间暂停了一段时间之后,他们又回来了。2020年6月底,运营商通过使用Internet Explorer中的漏洞CVE-2020-0968(已于2020年4月对此漏洞进行了修补)来加强他们的游戏。C&C服务器没有提供带有LNK文件的存档,而是提供了RTF文件,一旦打开,便会利用上述漏洞下载HTML文件。

CVE-2020-0968是过去两年中公开的IE传统JavaScript引擎中一系列类似漏洞的一部分。在XDSpy对其进行利用时,尚无在线概念证明,也很少有有关此特定漏洞的信息。我们认为XDSpy要么从经纪人那里购买了此漏洞利用,要么通过查看以前的漏洞利用本身来开发1天漏洞利用。

有趣的是,该漏洞利用与以前在DarkHotel活动中使用的漏洞相似,如图3所示。它也几乎与2020年9月从白俄罗斯上载到VirusTotal的多米诺骨牌行动中使用的漏洞相同。

鉴于我们不相信XDSpy链接到DarkHotel,并且Domino运维看起来与XDSpy完全不同,因此这三个组很可能共享同一漏洞利用代理。

XDSpy:自2011年以来一直在窃取政府机密

最终,该小组在2020年至少跳了两次COVID-19货车。该小组在2020年2月针对白俄罗斯机构的鱼叉式运动中首次使用了该主题。然后,在2020年9月,他们针对反对俄语的目标重新使用了该主题。该档案文件包含一个恶意的Windows脚本文件(WSF),该文件下载XDDown,如图4所示,并且他们使用了官方网站rospotrebnadzor.ru作为诱饵,如图5所示。

XDSpy:自2011年以来一直在窃取政府机密

XDSpy:自2011年以来一直在窃取政府机密

恶意软件组件

图4显示了通过LNK文件进行泄露的情况下的恶意软件体系结构,例如2020年2月。

XDSpy:自2011年以来一直在窃取政府机密

XDDown是主要的恶意软件组件,严格来说是下载器。它使用传统的“运行”键保留在系统上。它使用HTTP协议从硬编码的C&C服务器下载其他插件。HTTP回复包含使用硬编码的两字节XOR密钥加密的PE二进制文件。

在研究过程中,我们发现了以下插件:

  • XDRecon:收集有关受害计算机的基本信息(计算机名称,当前用户名和主驱动器的卷序列号)。
  • XDList:搜寻C:驱动器以获取有趣的文件(.accdb,.doc,.docm,.docx,.mdb,.xls,.xlm,.xlsx,.xlsm,.odt,.ost,.ppt,.pptm,.ppsm,.pptx,.sldm,.pst,.msg,.pdf,.eml和.wab),并提取这些文件的路径。它也可以截图。
  • XDMonitor:与XDList相似。它还监视可移动驱动器,以提取与有趣扩展名匹配的文件。
  • XDUpload:将文件的硬编码列表从文件系统提取到C&C服务器,如图5所示。路径由XDList和XDMonitor发送到C&C服务器。

XDSpy:自2011年以来一直在窃取政府机密

  • XDLoc:收集附近的SSID(例如Wi-Fi接入点),可能是为了对受害机器进行地理定位。
  • XDPass:从各种应用程序(例如Web浏览器和电子邮件程序)中获取保存的密码。

结论

XDSpy是一个网络间谍组织,在过去的几个月中非常忙碌,但大部分时间都未被发现超过九年。它最有兴趣从东欧和巴尔干的政府机构窃取文件。这种定位是非常不寻常的,因此值得关注。

该小组的技术水平往往会有所不同。它已经使用了相同的基本恶意软件体系结构九年,但是最近还利用了由供应商修补的漏洞,但没有针对该漏洞的公开概念验证,即所谓的1天漏洞利用。

漏洞硬编码
本作品采用《CC 协议》,转载必须注明作者和本文链接
注意 | Apache Doris编码漏洞
2022-04-27 17:41:07
2022年4月26日,Apache发布安全公告,修复了一个 Apache Doris中的编码漏洞漏洞编号:CVE-2022-23942,漏洞威胁等级:中危。
漏洞复现 | Fortinet FortiPortal 远程代码执行漏洞(CVE-2021-32588)复现
2021-08-13 20:40:41
360漏洞云监测到安全研究人员公布了FortiPortal远程代码执行漏洞(CVE-2021-32588)的细节,并成功复现了该漏洞
漏洞情报 | Fortinet FortiPortal 多个严重漏洞
2021-08-04 20:10:55
360漏洞云监测到Fortinet FortiPortal存在多个严重漏洞
微信小程序漏洞之accesskey泄露
2023-11-17 10:28:00
accesskey泄露漏洞
TP-Link智能灯泡漏洞可窃取目标WiFi密码
2023-08-24 14:24:31
研究人员在TP-Link Tapo智能灯泡和APP中发现4个安全漏洞,可用于窃取目标WiFi密码。
注意 | SONICWALL SSLVPN SMA1000 系列多个漏洞
2022-05-16 15:28:27
2022年5月13日,SonicWall发布了关于SMA1000系列设备的三个安全漏洞的紧急报告
Fortinet FortiPortal两个高危漏洞预警
2021-08-05 21:57:03
近日,Fortinet发布安全公告,修复了产品中的22个安全漏洞。其中最严重的是FortiPortal中的一个远程代码执行漏洞和一个SQL注入漏洞。建议受影响用户尽快更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
MoFi 路由器仍存在多个漏洞,可获取 root 访问权限、远程入侵设备
2020-09-09 12:03:13
研究人员在MoFi网络路由器中发现了多个漏洞,其中包括可以用来远程入侵设备的严重漏洞。来自CRITICALSTART的研究人员Rich Mirch发现了MOFI4500 MoFi网络路由器中十个漏洞。供应商已解决了多个严重漏洞,但在某些情况下,建议的修复程序还引入了其他安全问题。自从报告漏洞以来,该供应商已经发布了大约10个固件更新。6月25日,Mirch发现了14,382个MoFi路由器,这些路由器正在使用Shodan搜索引擎在线公开其管理界面。
SolarWinds Web Help Desk多个安全漏洞
2021-12-24 17:10:15
2021年12月24日,漏洞云团队监测到 Solarwinds发布安全公告,修复了两个个存在于 Web Help Desk 中的漏洞。其中,1个高危漏洞,1个中危漏洞漏洞详情如下:
CVE-2022-26138 Confluence 应用程序身份认证编码漏洞分析与复现
2022-07-21 11:30:03
漏洞信息2022.07.20 Atlassian 官方通报了 Questions for Confluence 应用程序存在编码漏洞 CVE-2022-26138,当 Confluence 安装该应用程序后,会自动新增一个编码的管理员账号密码,
Andrew
暂无描述