XDSpy
Las actividades de un grupo de verificadores que ha eludido la atención de la comunidad de seguridad de la información desde al menos 2011 han salido a la luz finalmente. Los investigadores llamaron al colectivo criminal XDSpy y creen que es una APT (Advanced Persistent Threat) patrocinada por el estado. El principal escenario de operaciones de XDSpy es Europa del Este y los Balcanes, con objetivos que van desde entidades privadas hasta organizaciones gubernamentales.
La primera vez que las operaciones del grupo se detectaron de manera concluyente fue cuando el equipo de respuesta a emergencias informáticas de Bielorrusia emitió una advertencia de que el colectivo de piratas informáticos, entonces anónimo, estaba intentando recopilar datos de los ministerios del país. Además de Bielorrusia, XDSpy se ha dirigido a entidades ubicadas en Rusia, Moldavia, Ucrania y Serbia, entre otros. Las víctimas muestran un número considerable de tipos diferentes, que van desde corporaciones hasta entidades militares y diplomáticas. Los investigadores de seguridad notaron que los piratas informáticos operaban en una forma de trabajo de cinco días y sincronizaban sus operaciones con la zona horaria local de las víctimas.
XDSpy confía en herramientas de malware básicas pero eficaces
El conjunto de herramientas empleado por XDSpy muestra poco en términos de funcionalidad sofisticada, pero eso de ninguna manera significa que no sea efectivo. El vector de ataque preferido del grupo es el spear-phishing, con correos electrónicos que contienen archivos adjuntos envenenados. Por lo general, son archivos como archivos RAR o ZIP, pero también pueden ser archivos de Powerpoint o LNK. Algunos correos electrónicos incluían un enlace al archivo que contenía la amenaza de malware. El ataque en sí se dividió en múltiples etapas. Al ejecutar el archivo dañado desde el correo electrónico, se ejecuta un script con la tarea de descargar la carga útil principal llamada XDDown. Una vez que se instala correctamente, XDDown puede eliminar módulos de malware adicionales de acuerdo con los objetivos específicos de los piratas informáticos. Los nombres dados a las cargas útiles secundarias son XDREcon, XDList, XDMonitor, XDUpload, XDLoc y XDPass.
En su conjunto, las herramientas utilizadas por XDSpy incluían técnicas anti-análisis como la ofuscación de cadenas y la carga dinámica de bibliotecas API de Windows. Sus principales actividades en el sistema comprometido fueron monitorear unidades extraíbles, captura de pantalla y exfiltración de datos.
