В рамках конференции Virus Bulletin 2020 эксперты ESET поделились информацией об обнаружении ранее неизвестной группировки хакеров XDSpy. В данный момент известно, что киберпреступники работали на какое-то из правительств и были активны как минимум с 2011 года. Детали не уточняются.
XDSpy нападали на различные коммерческие и государственные компании в России, Белоруссии, Украине, Молдове и Сербии, а возможно, и организации из других стран. Ключевой целью хак-группировки была разведка и кража документов.
На данный момент никакой активности хакеры XDSpy не проявляют. Триггером остановки деятельности стало предупреждение белорусского CERT в феврале 2020 года. Именно тогда была обнаружена одна из их вредоносных операций, а само сообщение CERT дало старт расследованию ESET и помогло идентифицировать предыдущие кампании XDSpy.
Главным инструментом XDSpy был комплекс вредоносного ПО XDDown. Это не самое современное ПО успешно заражало машины и собирало конфиденциальные данные компаний-жертв. В качестве основного канала распространения вредоноса использовалась электронная почта и фишинговые письма, киберпреступники не стеснялись эксплуатировать тему коронавируса. Жертвы получали письма с вложениями в форматах zip, файлами презентаций MS PowerPoint или даже JS-файлами.
Из-за того, что основной целью преступников было именно скрытое хищение, а также ряд других факторов (наличие особых «рубильников», которые удаляли вредоносные модули после определенной даты) позволяет полагать, что группировка XDSpy действовала в интересах какого-то из правительств.
Понравилась статья? Тогда ставьте лайк и подписывайтесь на канал, чтобы не пропускать новые выпуски!
