В июле 2024 года эксперты по информационной безопасности из команды F.A.C.C.T. Threat Intelligence сообщили об обнаружении новых кибератак, которые проводятся хакерской группировкой XDSpy против различных российских организаций разных отраслей деятельности. Все эти атаки начинались с рассылки фишинговых писем в целевые компании, уточняют специалисты.
В компании F.A.C.C.T. подчёркивают, что хакерская группировка XDSpy с применением фишинговых писем рассылает в различные российские организации ссылки на загрузку RAR-архивов. В том случае, если пользователь открывает это фишинговое письмо и начинает скачивание архива, то внутри него оказываются легитимные исполняемые файлы с расширением .exe, а также вредоносные библиотеки msi.dll. Чтобы активировать вредоносное программное обеспечение на пользовательском устройстве, хакеры применяют метод DLL SideLoading.
В этом случае основная угроза исходит от библиотеки, которая скачивает и запускает дополнительный вредоносный софт под названием XDSpy.DSDownloader. Специалисты компании F.A.C.C.T. отмечают, что в качестве основных целей на данный момент выступают российские компании, работающие в сфере информационных технологий и занимающиеся разработкой программного обеспечения.
При рассылке своих фишинговых писем злоумышленники подделывают адреса отправителей. Например, в одном из таких обнаруженных писем была тема «доступ к документам», внутри которого была ссылка на архив с вредоносным программным обеспечением. Затем в организацию рассылаются и повторные письма с другой темой, например, «договорённости по поручению руководства».
Указанное выше вредоносное программное обеспечение XDSpy.DSDownloader необходимо для скачивания и запуска файла полезной нагрузки на целевом устройстве. Затем вредонос использует разные способы для закрепления в скомпрометированной системе.
По словам аналитиков компании F.A.C.C.T., в качестве основной цели хакерской группировки XDSpy на данный момент выступают российские военные, финансовые, правительственные предприятия, а также организации, работающие в сфере исследований, энергетики и горнодобывающей промышленности.
Оригинал публикации на сайте CISOCLUB: "Хакеры группировки XDSpy снова проводит атаки против российских компаний".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.