ESET研究人员近日发现了一个新的APT组织——XDSpy,该组织自2011年开始活跃,主要攻击东欧和塞尔维亚的政府机构并窃取其敏感文件。XDSpyAPT组织自2011年以来一直活跃,但直到最近才被发现。很少有APT组织可以活跃9年而不被发现。XDSpyAPT组织的目标主要分布在东欧和塞尔维亚,受害者主要是军事和外交相关的政府机构和少量私营企业。图1为已知受害者分布图:图1.XDSpy受害者图谱归因经过仔细分析,研究人员仍然没有发现XDSpyAPT组织与现有APT组织之间的联系:没有发现与其他恶意软件家族的代码有相似之处;未发现网络基础设施重叠;在攻击目标中没有发现与其他APT组织的重叠。据研究人员分析,APT组织黑客可能在UTC+2/UTC+3时区工作,这也是大部分攻击目标所在的时区。此外,攻击者仅在周一至周五活动,因此应将攻击归类为专业活动。攻击向量XDSpy运营商主要使用鱼叉式网络钓鱼电子邮件来攻击他们的目标。这是研究人员发现的唯一攻击媒介,但发送的电子邮件有所不同:一些包含附件,而另一些则包含指向恶意文件的链接。第一层恶意文件或附件通常是zip或RAR文件。图2是2020年2月发送的鱼叉式网络钓鱼电子邮件的示例:图2.XDSpy运营商在2月发送的网络钓鱼电子邮件包含指向包含LNK文件的zip文件的链接。受害者双击后,LNK会下载并安装主要恶意软件组件XDDown的脚本。2020年6月,运营商还利用了IE漏洞CVE-2020-0968,该漏洞已于今年4月修复。C2并没有直接传播LNK文件,而是传播了一个RTF文件,打开后会下载一个利用CVE-2020-0968漏洞的HTML文件。XDSpy在利用CVE-2020-0968漏洞时,网上并没有公开的漏洞PoC,关于该漏洞的信息也很少。因此,研究人员推测XDSpy可能从经销商处购买了漏洞利用程序或开发了1天的漏洞利用程序。但是,研究人员利用的漏洞与DarkHotel攻击活动中的漏洞具有一定的相似性,如图3所示。它与今年9月的OperationDomino漏洞几乎相同。图3.部分利用代码类似于DarkHotel攻击中的代码。尽管存在相似之处,但研究人员并不认为XDSpy与DarkHotel和OperationDomino有关联。研究人员推测这三个黑客组织可能共享同一个漏洞利用机构。该文件包含下载XDDown的恶意Windows脚本文件(WSF),如图4所示,然后利用官网rospotrebnadzor.ru作为诱饵,如图5所示:图4.下载XDDown的脚本图5.打开诱饵URL图6中恶意软件组件的脚本部分是恶意软件的架构,通过LNK文件实现入侵。图6.XDSpy恶意软件架构,XDLoc和XDPass乱序发布XDDown是恶意软件的主要组件,是一个下载器。传统的运行密钥将用于驻留在系统中。并使用HTTP协议从硬编码的C2服务器下载额外的插件。HTTP将回复一个用硬编码的2字节XOR密钥加密的PE二进制文件。研究人员发现了以下组件:XDRecon:收集与受害机器相关的基本信息,例如计算机名称、当前用户名和硬盘序列号;XDList:抓取C盘特定文件并窃取这些文件的路径,并截图;XDMonitor:类似于XDList,监控移动硬盘窃取匹配特定扩展名的文件;XDUpload:从文件系统中窃取硬编码的文件列表,发送到C2服务器如图5所示,路径通过XDList和XDMonitor发送到C2服务器。图7.将硬编码文件列表中的文件上传到C2服务器XDLoc:收集附近的SSID信息,可能用于定位受害者的设备;XDPass:从不同的应用程序中获取保存的密码,例如网络浏览器和邮件程序;结论XDSpy是一个活跃了9年多的APT组织,主要攻击东欧和塞尔维亚的政府机构,窃取相关敏感文件。从技术上讲,该组织的恶意软件九年来一直使用相同的基本恶意软件框架,但它最近也开始使用没有公开PoC的1天漏洞。到目前为止,还没有发现这个APT组织与其他黑客组织有任何联系。更多恶意软件组件分析见白皮书:https://vblocalhost.com/uploads/VB2020-Faou-Labelle.pdf本文翻译自:https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/如有转载请注明原文地址:
