XDSpy是ESET研究人员发现的一个APT组织,至少自2011年以来一直活跃。ESET最近发现该组织的目标是白俄罗斯、俄罗斯的政府、军队和外交部、塞尔维亚和乌克兰。ESET的安全专家MatthieuFaou和FrancisLabelle在VirusBulletin2020的一次演示中披露了该组织的活动。XDSpy2020年初,ESET研究人员发现了一个此前未公开的针对东欧、巴尔干地区和俄罗斯政府的活动。不同寻常的是,研究表明该组织至少从2011年开始就很活跃,TTP几乎没有变化。专家认为,该攻击团伙可能袭击了其他多个国家,其行动中有很大一部分未被发现。2020年2月,白俄罗斯CERT发布了一份安全公告,内容涉及由ESET和XDSpy链接的针对白俄罗斯多个部委和机构的鱼叉式网络钓鱼活动。攻击工具XDSpy小组武器库中的工具虽然非常有效,但实际上非常基础,主要使用名为XDDown的下载器。XDSpy的恶意软件支持多种功能,包括监控可移动设备、截取屏幕截图、窃取机密文件以及收集WiFi接入点的名称。该组织还使用NirSoft从网络浏览器和电子邮件客户端窃取密码,以及InternetExplorer漏洞CVE-2020-0968。ESET研究表明:“在XDSpy利用CVE-2020-0968时,不仅没有POC代码,而且关于该漏洞的信息也非常少”,“我们认为XDSpy要么直接购买漏洞,要么从以前的利用。来吧”。XDDown是一个在被攻陷主机上下载并执行各种任务的Downloader,也是一个模块化的结构。部分插件如下:XDRecon:收集受感染主机的基本信息(计算机名、用户名、主驱动器的卷序列号)XDList:查找指定类型的文件(.accdb、.doc、.docm,.docx,.mdb,.xls,.xlm,.xlsx,.xlsm,.odt,.ost,.ppt,.pptm,.ppsm,.pptx,.sldm,.pst,.msg,.pdf,.eml,.wab)XDMonitor:类似于XDListXDUpload:将文件系统的硬编码文件列表发送到C&C服务器XDLoc:收集附近的SSID,可能用于fallout主机地理定位XDPass:从各种应用程序(例如Web浏览器和电子邮件程序使用恶意电子邮件附件(如Powerpoint、JavaScript、ZIP或LNK文件)进行的攻击。ESET研究人员指出,从周一到周五,许多XDSpy恶意软件样本是在UTC+2或UTC+3时区编译的。参考来源:SecurityAffairs
