Хакерська група XDSpy роками викрадала державні секрети в Європі. Для свого кібершпигунства раніше непомічена група часто використовувала фішинг, пов’язаний з COVID-19.
Дослідники ESET виявили групу кібершпигунства, яка раніше діяла непомітно. За словами європейського виробника безпеки, група APT працює з 2011 року та спеціалізується на крадіжці конфіденційних державних документів у Східній Європі та на Балканах. Цілями є насамперед державні установи, включаючи військові установи та міністерства закордонних справ, а також окремі компанії. Хакерська банда, названа ESET XDSpy, майже не була помічена протягом дев’яти років, що є рідкістю.
Пропущені оновлення системи безпеки запрошують зловмисників
«Кампанія XDSpy є зразковою для поточного стану кібербезпеки. Оновлення безпеки, які не були імпортовані, застаріле програмне та апаратне забезпечення, відсутність моніторингу - все це запрошує не тільки шпигунів, але й інших кібергангстерів. Однак було б помилкою вважати, що лише східноєвропейські органи влади та інституції можуть легко стати жертвами», – каже Томас Улеманн, фахівець із безпеки ESET Germany. «Навіть у німецькомовних країнах все ще надто багато IT-інцидентів. Цього можна було б уникнути, якби були дотримані найпростіші основні правила ІТ-безпеки, такі як захист від зловмисного програмного забезпечення, постійне оновлення обладнання та програмного забезпечення, відповідні бюджети, сучасні авторизації доступу, шифрування та ноу-хау».
Успішні фішингові атаки
Оператори XDSpy давно використовують фішингові електронні листи для компрометації своїх цілей. Електронні листи відрізняються: деякі містять вкладення, а інші містять посилання на шкідливий файл. Зазвичай це архіви ZIP або RAR. Коли жертва двічі клацає по ньому, розпакований файл LNK завантажує та встановлює «XDDown» — основний компонент шкідливого ПЗ.
XDSpy використовує вразливість Microsoft
Наприкінці червня 2020 року зловмисники посилили свої атаки, скориставшись уразливістю в Internet Explorer CVE-2020-0968. Хоча це було виправлено Microsoft у квітні 2020 року, очевидно, що оновлення було встановлено не скрізь. Замість архіву з файлом LNK сервер Command&Control видав файл RTF. Після відкриття він завантажував файл HTML і використовував уразливість.
CVE-2020-0968 є частиною серії подібних уразливостей. Наприклад, один із них можна знайти в старому движку JavaScript Internet Explorer, який був викритий протягом останніх двох років. У той час, коли ця вразливість була використана XDSpy, жодних доказів концепції та дуже мало інформації про цю конкретну вразливість було доступно в Інтернеті. Імовірно, група хакерів або купила цей експлойт у брокера, або самостійно розробила одноденний експлойт.
Безкоштовні гонщики: жертви, які потрапили в пастку через проблеми з Covid-19
У 2020 році група хакерів щонайменше двічі підхоплювала Covid-19. «Останній випадок було виявлено кілька тижнів тому в рамках їхніх постійних фішингових кампаній, — додає дослідник ESET Метьє Фау. «Оскільки ми не виявили подібності коду з іншими сімействами шкідливих програм і не спостерігали збігів у мережевій інфраструктурі, ми припускаємо, що XDSpy — це раніше незадокументована група», — підсумовує Фау.
Дізнайтеся більше на WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.