El grupo de ciberespionaje XDSpy opera discretamente desde hace nueve años

Los investigadores de ESET publicaron hoy detalles sobre un actor de amenazas que ha estado operando durante al menos nueve años, pero su negocio casi no ha atraído la atención del público.

Pasar en gran medida desapercibido durante tanto tiempo es algo poco común en estos días, ya que las campañas dañinas de los adversarios de toda la vida se superponen en algún momento o brindan suficientes pistas a los investigadores para determinar que el mismo actor está detrás de ellas.

No es suficiente para la atribución

Al Boletín de virus 2020 En la conferencia de seguridad de hoy, ESET brindó detalles sobre las víctimas y las operaciones de una amenaza persistente avanzada (APT) recientemente descubierta llamada XDSpy, que lleva el nombre del principal descargador de malware utilizado en los ataques.

Los investigadores de malware de ESET, Matthieu Faou y Francis Labelle, dicen que el grupo ha estado realizando campañas de ciberespionaje desde al menos 2011.

El principal interés de XDSpy está en las regiones de Europa del Este y los Balcanes (Bielorrusia, Moldavia, Rusia, Serbia y Ucrania), que se dirigen principalmente a agencias gubernamentales (militares, Ministerios de Relaciones Exteriores), aunque entre sus víctimas también hay empresas privadas.

Antes del informe de ESET, el Centro Nacional de Respuesta a Incidentes de Seguridad Cibernética (CERT) en Bielorrusia publicó en febrero de 2020 un consultivo en una campaña de spear phishing de XDSpy se extendió a más de 100 objetivos, que incluyen:

  • Consejo de la República
  • gabinete
  • Ministerio de Economía
  • Ministerio de Finanzas
  • Ministerio de Industria
  • Ministro de Información
  • Comité Estatal de Normalización
  • Agencias policiales, personas físicas y jurídicas

Según el código malicioso utilizado en los ataques, la infraestructura de red y la victimología, los investigadores de ESET no pudieron vincular de forma segura la actividad de XDSpy a un grupo APT conocido. Dada la actividad a largo plazo y otros factores, probablemente haya un actor profesional detrás de XDSpy.

"Creemos que los desarrolladores podrían trabajar en la zona horaria UTC + 2 o UTC + 3, que también es la zona horaria de la mayoría de las lentes. También notamos que solo trabajaban de lunes a viernes, lo que sugiere una actividad profesional" - ESET

Herramientas y tácticas de ataque

El spear phishing parece ser el principal vector de ataque del grupo, con correos electrónicos que contienen un archivo malicioso o un enlace a uno (generalmente un archivo ZIP o RAR).

El archivo contiene un archivo LNK que descarga un script que instala XDDown, el componente principal utilizado por el equipo para establecer la persistencia y descargar complementos maliciosos desde el servidor de comando y control (codificado).

ESET ha descubierto varios complementos utilizados por XDSpy para el reconocimiento, la recopilación de detalles y el robo de archivos de interés según su extensión:

  • XDRecon: recopila información básica sobre la máquina víctima (nombre de la computadora, nombre de usuario actual, número de serie del volumen de la unidad principal)
  • XDList: tome capturas de pantalla, escanee la unidad C: en busca de archivos interesantes (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab) y exfiltrar sus rutas
  • XDMonitor: monitorea unidades extraíbles para robar archivos que coinciden con una extensión interesante.
  • XDUpload: roba una lista de archivos codificados del sistema de archivos
  • XDLoc: recopila SSID cercanos (como puntos de acceso Wi-Fi), posiblemente con fines de geolocalización
  • XDPass: roba contraseñas de aplicaciones como navegadores web y programas de correo electrónico

En operaciones más recientes (finales de junio), el actor explotó una vulnerabilidad en Internet Explorer (CVE-2020-0968 - parcheada en abril) de la que se sabía poco en ese momento y no había código de explotación de prueba de concepto. .

"Creemos que XDSpy compró este exploit de un corredor o desarrolló un exploit de 1 día buscando inspiración en exploits anteriores" - ESET

El exploit utilizado en ese ataque, sin embargo, tenía similitudes con otros exploits utilizados por DarkHotel APT. Sin embargo, ESET cree que no hay conexión entre los dos grupos y que el terreno común podría explicarse por el uso del mismo broker de exploits.

ESET dice que hasta que pasó a explotar la vulnerabilidad de IE, el grupo se basó en la "misma arquitectura central de malware". Este interruptor muestra la evolución técnica y puede predecir más actividad de este actor.

Sobre su Página de GitHub, ESET ha publicado una lista completa de indicadores de compromiso (IoC) que incluye hashes para componentes XDSpy conocidos, detalles sobre su infraestructura de red y actividad en el sistema infectado.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir