Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової APT-групи, яка з 2011 року викрадає конфіденційні документи державних установ у країнах Східної Європи та Балканського півострову. Діяльність групи, яка отримала назву XDSpy, залишалася практично непоміченою протягом 9 років. Серед цілей кіберзлочинців — державні установи, в тому числі військові організації, міністерства іноземних справ, та приватні компанії.
«Поки що група привернула дуже мало уваги громадськості, за винятком повідомлення білоруського CERT у лютому 2020 року», — говорить Матьє Фау, дослідник ESET.
Для компрометації своїх цілей оператори XDSpy використовують фішингові електронні листи різного типу. Деякі шкідливі листи містять вкладення, яким зазвичай є архів у форматі ZIP або RAR, а інші — посилання на ZIP-архів з файлом LNK без будь-яких документів-приманок. Коли жертва двічі клацає на файл, LNK завантажує додатковий сценарій, який встановлює XDDown — основний компонент шкідливої програми.
У кінці червня 2020 року кіберзлочинці розширили свою шкідливу діяльність, почавши використовувати уразливість в InternetExplorer — CVE-2020-0968, яку було виправлено у квітні 2020 року. Замість архіву з файлом LNK командний сервер (C&C) вже відправляв RTF-файл, під час відкриття якого завантажувався HTML-файл, який використовував вищезгадану уразливість.
«У 2020 році дана група кіберзлочинців у своїх фішингових кампаніях як мінімум двічі використовувала гучну тему COVID-19», — додає Матьє Фау.
«Оскільки ми не виявили будь-якої схожості коду з іншими сімействами шкідливих програм та збігів в мережевій інфраструктурі, то робимо висновок, що XDSpy — це раніше не зафіксована група», — коментує дослідник ESET.
Більш детальна інформація про атаки кіберзлочинців доступна за посиланням.