O grupo de hackers XDSpy roubou segredos do governo na Europa durante anos. Para sua espionagem cibernética, o grupo anteriormente despercebido costumava usar spear phishing relacionado ao COVID-19.
Os pesquisadores da ESET descobriram um anel de espionagem cibernética que anteriormente era capaz de operar despercebido. Segundo o fabricante europeu de segurança, o grupo APT está ativo desde 2011 e é especializado no roubo de documentos governamentais sensíveis na Europa Oriental e na região dos Bálcãs. Os alvos são principalmente entidades governamentais, incluindo estabelecimentos militares e ministérios estrangeiros, bem como empresas isoladas. Apelidado de XDSpy pela ESET, a gangue de hackers passou despercebida por nove anos, o que é raro.
Atualizações de segurança negligenciadas convidam invasores
“A campanha XDSpy é exemplar para o estado atual da segurança cibernética. Atualizações de segurança que não foram importadas, software e hardware desatualizados, falta de monitoramento - tudo isso convida não apenas espiões, mas também outros criminosos cibernéticos. No entanto, seria uma falácia acreditar que apenas as autoridades e instituições do Leste Europeu podem facilmente ser vítimas”, diz Thomas Uhlemann, especialista em segurança da ESET Alemanha. “Mesmo em países de língua alemã ainda há muitos incidentes de TI. Isso poderia ser evitado se as regras básicas de segurança de TI mais simples, como proteção contra malware, atualizações constantes de hardware e software, orçamentos adequados, autorizações de acesso modernas, criptografia e know-how estivessem em vigor.”
Ataques de spear phishing bem-sucedidos
Os operadores do XDSpy há muito usam e-mails de spear phishing para comprometer seus alvos. Os e-mails variam: alguns contêm um anexo, enquanto outros contêm um link para um arquivo malicioso. Geralmente são arquivos ZIP ou RAR. Quando a vítima clica duas vezes nele, o arquivo LNK extraído baixa e instala o "XDDown" - o principal componente do malware.
XDSpy explora vulnerabilidade da Microsoft
No final de junho de 2020, os invasores intensificaram seus ataques explorando uma vulnerabilidade no Internet Explorer, CVE-2020-0968. Embora isso tenha sido corrigido pela Microsoft em abril de 2020, a atualização obviamente não foi instalada em todos os lugares. Em vez de um arquivo com um arquivo LNK, o servidor Command&Control entregou um arquivo RTF. Depois de aberto, ele baixou um arquivo HTML e explorou a vulnerabilidade.
CVE-2020-0968 faz parte de uma série de vulnerabilidades semelhantes. Por exemplo, um deles pode ser encontrado no antigo mecanismo JavaScript do Internet Explorer, que foi exposto nos últimos dois anos. No momento em que essa vulnerabilidade foi explorada pelo XDSpy, nenhuma prova de conceito e muito pouca informação sobre essa vulnerabilidade específica estava disponível online. Presumivelmente, o grupo de hackers comprou essa exploração de um corretor ou desenvolveu uma exploração de 1 dia por conta própria.
Caroneiros: vítimas presas com problemas de Covid-19
O grupo de hackers entrou na onda do Covid-2020 pelo menos duas vezes em 19. "O caso mais recente foi descoberto há algumas semanas como parte de suas campanhas de spear phishing em andamento", acrescenta o pesquisador da ESET Matthieu Faou. “Como não encontramos semelhanças de código com outras famílias de malware e não observamos sobreposições na infraestrutura de rede, assumimos que o XDSpy é um grupo não documentado anteriormente”, conclui Faou.
Saiba mais em WeLiveSecurity em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.