Киберпреступники используют тему COVID-19 в атаках на государственные учреждения Европы

Следующая новость

Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой APT-группы, которая с 2011 года похищает конфиденциальные документы государственных учреждений в странах Восточной Европы и Балканского полуострова. Деятельность группы, которая получила название XDSpy, оставалась практически незамеченной в течение 9 лет. Среди целей киберпреступников — государственные учреждения, в том числе военные организации, министерства иностранных дел, и частные компании.

«Пока группа привлекла очень мало внимания общественности, за исключением сообщения белорусского CERT в феврале 2020 года», — говорит Матье Фау, исследователь ESET.

Для компрометации своих целей операторы XDSpy используют фишинговые электронные письма разного типа. Некоторые вредоносные письма содержат вложение, которым, как правило, является архив в формате ZIP или RAR, а другие — ссылку на ZIP-архив с файлом LNK без каких-либо документов-приманок. Когда жертва дважды щелкает на файл, LNK загружает дополнительный сценарий, который устанавливает XDDown — основной компонент вредоносной программы.

В конце июня 2020 года киберпреступники расширили свою вредоносную деятельность, начав использовать уязвимость в Internet Explorer — CVE-2020-0968, которая была исправлена ​​в апреле 2020 года. Вместо архива с файлом LNK командный сервер (C&C) уже отправлял RTF-файл, при открытии которого загружался HTML-файл, использовавший вышеупомянутую уязвимость.

«В 2020 году данная группа киберпреступников в своих фишинговых кампаниях как минимум дважды использовала громкую тему COVID-19», — добавляет Матье Фау.

«Поскольку мы не обнаружили какого-либо сходства кода с другими семействами вредоносных программ и совпадений в сетевой инфраструктуре, то делаем вывод, что XDSpy  это ранее не зафиксированная группа», — комментирует исследователь ESET.

Более подробная информация об атаках киберпреступников доступна по ссылке.