Привет, Дзен! Расскажем сегодня про таинственную хак-группу кибершпионов XDSpy. Большинство ее целей находятся в РФ. В первую очередь, хакеров интересуют государственные, военные, финансовые учреждения, а также предприятия ВПК, энергетические, исследовательские и добывающие компании.
Впервые группа появилась на радарах у исследователей белорусского CERT в феврале 2020 года. Однако, есть мнение, что история группы намного длиннее — она появилась, как минимум в 2011 году. Просто хорошо сохранилась скрывалась.
Самая главная загадка, на кого служат эти хакеры. Высказывались разные версии. В том числе то, что они работают под зонтиком сборной солянки спецслужб Five Eyes. Кто не знает, так называют разведывательный альянс, в который входят США, Великобритания, Австралия, Канада, Новая Зеландия.
Привет от "ядерного" НИИ
21 и 22 ноября эксперты департамента Threat Intelligence (Киберразведка) и Центра кибербезопасности компании F.A.C.C.T. обнаружили новые вредоносные почтовые рассылки XDSpy.
Среди получателей опасных писем оказалось одно из российских металлургических предприятий, а также НИИ, занимающийся разработкой и производством управляемого ракетного оружия.
В подписи стоит лого российского НИИ, специализирующегося на проектировании объектов ядерного оружейного комплекса, а в качестве отправителя была указана электронная почта некой логистической компании из Калининграда. Еще одно письмо было отправленное российским металлургам, но уже с белорусского адреса.
Киллчейн — то есть цепочка атаки — этой ноябрьской кампании такой же, как и в описанных ранее нами летних атаках XDSpy. Выглядели он так.
МЧС и "тайные списки"
11 июля наша система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила вредоносную рассылку. Среди целей хакеров оказались несколько российских компаний и организаций, и один из известных научно-исследовательских институтов.
Письмо-приманка, подписанное Министерством по чрезвычайным ситуациям, довольно странное. Тема сообщения абсолютно не соответсвует функциям МЧС.
Получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России".
Отправители письма угрожают, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры.
Под видом файла-приманки Spisok_rabotnikov.pdf со списком врачей (!) одной из клиник Ростова-на-Дону загружается вредоносная программа, которая собирает чувствительные данные и документы с компьютера жертвы.
XDSpy пользовалась подобными техниками и раньше: в середине марта текущего года кибершпионы атаковали структуры МИДа России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.
Специалисты F.A.C.C.T. продолжают следить за XDSpy. Для тех, кто хочет глубже погрузиться в информационную безопасность, публикуем индикаторы компроментации июльских и ноябрьских атак.