Οι ερευνητές της εταιρίας κυβερνοασφάλειας ESET εντόπισαν μια νέα ομάδα APT (advanced persistent threat) που κλέβει ευαίσθητα έγγραφα από κυβερνήσεις στην Ανατολική Ευρώπη και την περιοχή των Βαλκανίων από το 2011.
Οι ερευνητές της εταιρίας κυβερνοασφάλειας ESET εντόπισαν μια νέα ομάδα APT (advanced persistent threat) που κλέβει ευαίσθητα έγγραφα από κυβερνήσεις στην Ανατολική Ευρώπη και την περιοχή των Βαλκανίων από το 2011.
H ομάδα XDSpy, όπως την ονόμασε η ESET, κατάφερε να μη γίνει αντιληπτή για εννέα χρόνια, κάτι που είναι αρκετά σπάνιο. Τα μέλη της ομάδας έχουν θέσει σε κίνδυνο πολλές κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες.
«Η ομάδα δεν είχε τραβήξει την προσοχή μέχρι στιγμής, με εξαίρεση μια συμβουλευτική που εξέδωσε η Λευκορωσική CERT το Φεβρουάριο του 2020», δήλωσε ο Mathieu Faou, ο ερευνητής της ESET που ανέλυσε το κακόβουλο λογισμικό.
Η ομάδα XDSpy χρησιμοποιεί ως μέθοδο το spear-phishing για να επιτεθεί στους στόχους της. Ορισμένα από τα email που αποστέλλει περιέχουν ένα συνημμένο αρχείο, ενώ άλλα περιέχουν σύνδεσμο που οδηγεί σε κακόβουλο αρχείο. Το πρώτο επίπεδο του κακόβουλου αρχείου ή του συνημμένου είναι αρχείο ZIP ή RAR. Στα τέλη Ιουνίου 2020, οι κυβερνοεγκληματίες ενέτειναν τις προσπάθειές τους χρησιμοποιώντας το CVE-2020-0968, μια ευπάθεια στον Internet Explorer η οποία επιδιορθώθηκε τον Απρίλιο του 2020. «Μέσα στο 2020, η ομάδα εκμεταλλεύθηκε την πανδημία COVID-19 τουλάχιστον δύο φορές για να εξαπολύσει επιθέσεις, συμπεριλαμβανομένης και μιας περίπτωσης μόλις πριν από ένα μήνα» προσθέτει ο Faou.
«Δεδομένου ότι δεν εντοπίσαμε ομοιότητες κώδικα με άλλες οικογένειες κακόβουλου λογισμικού και δεν παρατηρήσαμε αλληλοεπικάλυψη στην υποδομή δικτύου, συμπεραίνουμε ότι η XDSpy είναι μια ομάδα που δεν έχει καταγραφεί προηγουμένως», καταλήγει ο Faou.
Οι στόχοι της ομάδας XDSpy εντοπίζονται στην Ανατολική Ευρώπη και τα Βαλκάνια. Πρόκειται κυρίως για κυβερνητικούς φορείς, όπως Ένοπλες Δυνάμεις, Υπουργεία Εξωτερικών και ιδιωτικές επιχειρήσεις.
Για περισσότερες τεχνικές λεπτομέρειες σχετικά με το spyware, επισκεφθείτε το σχετικό “blogpost ” στο WeLiveSecurity.