前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >ESET披露自从2011年开始活跃的新APT组织XDSpy

ESET披露自从2011年开始活跃的新APT组织XDSpy

作者头像
FB客服
发布2020-10-27 14:40:07
5910
发布2020-10-27 14:40:07
举报
文章被收录于专栏:FreeBuf

XDSpy是ESET研究人员发现至少自从2011年以来就一直活跃的APT组织。ESET最近又发现该组织针对白俄罗斯、俄罗斯、塞尔维亚和乌克兰的政府、军队和外交部。

ESET的安全专家Matthieu Faou和Francis Labelle在Virus Bulletin 2020的一次演讲中披露了该组织的攻击行动。

XDSpy

在2020年年初,ESET研究人员发现了一个之前未公开的攻击活动,针对的是东欧、巴尔干地区和俄罗斯的政府。不同寻常的是,研究表明这个攻击组织至少从2011年开始就一直在活跃,而且TTP几乎没有变化。专家认为,该攻击组织可能已经攻击了许多其他国家,并且其行动的很大一部分尚未被发现。

2020年2月,白俄罗斯CERT发布了有关鱼叉式网络钓鱼攻击的安全公告,该攻击行动被ESET和XDSpy关联起来,目标是白俄罗斯的几个部委和机构

攻击工具

XDSpy组织的工具库中的工具虽然非常有效,但实际上是非常基础的,主要使用名为XDDown的Downloader。XDSpy的恶意软件支持多种功能,包括监视可移动设备、屏幕截图、窃密文档以及收集WiFi接入点的名称

该组织还通过NirSoft从Web浏览器和电子邮件客户端窃取密码,以及 Internet Explorer的漏洞CVE-2020-0968。ESET研究表明:“在 XDSpy利用CVE-2020-0968时,不仅还没有POC代码,而且有关该漏洞的信息都非常少”,“我们认为XDSpy要么直接购买了Exploit,要么是根据以前的Exploit修改而来”。

XDDown是在失陷主机上下载并执行各种任务的Downloader,也是模块化结构,其中一些插件如下所示:

  • XDRecon:收集失陷主机基本信息(计算机名称、用户名、主驱动器卷序列号)
  • XDList:寻找指定类型的文件(.accdb,.doc,.docm,.docx,.mdb,.xls,.xlm,.xlsx,.xlsm,.odt,.ost,.ppt,.pptm, .ppsm,.pptx,.sldm,.pst,.msg,.pdf,.eml,.wab)
  • XDMonitor:与 XDList相似
  • XDUpload:将文件的硬编码列表从文件系统发送到C&C服务器
  • XDLoc:收集附近的SSID,可能是为了对失陷主机进行地理定位
  • XDPass:从各种应用程序(例如Web浏览器和电子邮件程序)中获取保存的密码

攻击使用的恶意邮件附件如Powerpoint、JavaScript、ZIP 或 LNK 文件。ESET研究人员指出,从星期一到星期五,在UTC+2或UTC+3时区编译了许多XDSpy恶意软件样本

参考来源

SecurityAffairs

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-10-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • XDSpy
  • 攻击工具
  • 参考来源
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档