Il gruppo di hacker XDSpy ha rubato segreti governativi in Europa per anni. Per il loro spionaggio informatico, il gruppo precedentemente inosservato utilizzava spesso lo spear phishing correlato a COVID-19.
I ricercatori ESET hanno scoperto un anello di spionaggio informatico che in precedenza era in grado di operare inosservato. Secondo il produttore europeo di sicurezza, il gruppo APT è attivo dal 2011 ed è specializzato nel furto di documenti governativi sensibili nell'Europa orientale e nella regione balcanica. Gli obiettivi sono principalmente enti governativi, inclusi stabilimenti militari e ministeri degli esteri, nonché società isolate. Soprannominata XDSpy da ESET, la banda di hacker è passata in gran parte inosservata per nove anni, il che è raro.
Gli aggiornamenti di sicurezza trascurati invitano gli aggressori
“La campagna XDSpy è esemplare per lo stato attuale della sicurezza informatica. Aggiornamenti di sicurezza che non sono stati importati, software e hardware obsoleti, mancanza di monitoraggio: tutto ciò invita non solo le spie, ma anche altri cyber gangster. Tuttavia, sarebbe un errore credere che solo le autorità e le istituzioni dell'Europa orientale possano facilmente cadere vittime", afferma Thomas Uhlemann, specialista della sicurezza di ESET Germania. “Anche nei paesi di lingua tedesca ci sono ancora troppi incidenti IT. Questi potrebbero essere evitati se fossero state messe in atto le più semplici regole di sicurezza IT di base come protezione da malware, aggiornamenti hardware e software costanti, budget adeguati, autorizzazioni di accesso moderne, crittografia e know-how.
Attacchi di spear phishing riusciti
Gli operatori di XDSpy utilizzano da tempo le e-mail di spear phishing per compromettere i propri obiettivi. Le e-mail variano: alcune contengono un allegato, mentre altre contengono un collegamento a un file dannoso. Di solito si tratta di archivi ZIP o RAR. Quando la vittima fa doppio clic su di esso, il file LNK estratto scarica e installa "XDDown", il componente principale del malware.
XDSpy sfrutta la vulnerabilità di Microsoft
Alla fine di giugno 2020, gli aggressori hanno intensificato i loro attacchi sfruttando una vulnerabilità in Internet Explorer, CVE-2020-0968. Sebbene questo sia stato corretto da Microsoft nell'aprile 2020, l'aggiornamento non è stato ovviamente installato ovunque. Invece di un archivio con un file LNK, il server Command&Control ha consegnato un file RTF. Una volta aperto, scaricava un file HTML e sfruttava la vulnerabilità.
CVE-2020-0968 fa parte di una serie di vulnerabilità simili. Ad esempio, uno di questi può essere trovato nel vecchio motore JavaScript di Internet Explorer, che è stato esposto negli ultimi due anni. Al momento in cui questa vulnerabilità è stata sfruttata da XDSpy, non erano disponibili online prove di concetto e pochissime informazioni su questa particolare vulnerabilità. Presumibilmente, il gruppo di hacker ha acquistato questo exploit da un broker o ha sviluppato lui stesso un exploit di 1 giorno.
Free riders: vittime intrappolate con problemi di Covid-19
Il gruppo di hacker è salito sul carro del Covid-2020 almeno due volte nel 19. "L'ultimo caso è stato scoperto poche settimane fa come parte delle loro continue campagne di spear phishing", aggiunge il ricercatore ESET Matthieu Faou. "Poiché non abbiamo trovato somiglianze di codice con altre famiglie di malware e non abbiamo osservato sovrapposizioni nell'infrastruttura di rete, presumiamo che XDSpy sia un gruppo precedentemente non documentato", conclude Faou.
Scopri di più su WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.