Badacze ESET wpadli na trop nowe grupy APT – XDSpy. Cyberprzestępcy od co najmniej 9 lat atakowali rządowe agencje oraz prywatne organizacje na terenie Europy Wschodniej i Bałkanów, a w ich repertuarze można znaleźć kilka zaawansowanych narzędzi.
Pierwsze publiczne informacje na temat grupy XDSpy i stosowanego przez nich złośliwego oprogramowania pojawiły się w lutym 2020 roku, kiedy białoruski CERT poinformował o zidentyfikowaniu kampanii z jej udziałem. Przestępcy wysyłali wiadomości phishingowe do swoich celów. Zachęcały one do pobrania załącznika, który następnie infekował komputer złośliwym oprogramowaniem. Za pomocą wirusa atakujący mogli następnie wykradać z zarażonej instytucji dokumenty zawierające poufne informacje.
W wyniku swojej analizy badacze ESET ustalili, że za przytoczone ataki nie odpowiada żadna z dotychczas rozpoznanych grup cyberprzestępców, a nieznana dotąd grupa APT, która pozostaje aktywna od co najmniej 2011 roku. Na swoje ofiary wybiera ona przede wszystkim cele z terenu Europy Wschodniej i Bałkanów, w tym w szczególności instytucje rządowe – m.in. o charakterze zbrojnym i ministerstwa spraw zagranicznych – oraz firmy prywatne.
Badacze ESET zwracają uwagę, że choć przez większość czasu przestępcy wykorzystują w swoich operacjach stosunkowo nieskomplikowane metody i narzędzia, rozsyłając do swoich ofiar archiwa ZIP zawierające złośliwe pliki LNK, tak odnotowany został incydent, kiedy grupa sięgnęła po własną wersję wykorzystania luki bezpieczeństwa w module przeglądarki Internet Explorer. Sugeruje to, że mają oni dostęp także do bardziej zaawansowanego zaplecza technicznego, co zwiększa zagrożenie z jej strony.
Zostaw komentarz