XDSpy

少なくとも2011年以来infosecコミュニティの注目を逃してきたチェッカーグループの活動がついに明らかになりました。研究者たちは犯罪集団XDSpyと呼び、それは国が後援するAPT（Advanced Persistent Threat）であると信じています。 XDSpyの主な運営拠点は東ヨーロッパとバルカン半島であり、そのターゲットは民間企業から政府機関にまで及びます。

グループの活動が最終的に検出されたのは、ベラルーシのコンピューター緊急対応チームが、当時の名前のないハッカー集団が国内の省庁からデータを収集しようとしているという警告を発したときでした。ベラルーシに加えて、XDSpyは、とりわけロシア、モルドバ、ウクライナ、セルビアにあるエンティティをターゲットにしています。被害者は、企業から軍事および外交機関に至るまで、かなりの数の異なるタイプを示しています。セキュリティ研究者は、ハッカーが5日間の作業方法で操作し、被害者のローカルタイムゾーンに操作を同期させていることに気づきました。

XDSpyは、基本的でありながら効果的なマルウェアツールに依存しています

XDSpyで採用されているツールキットは、洗練された機能の点ではほとんど示されていませんが、それが効果的でないことを意味するものではありません。このグループの好ましい攻撃ベクトルはスピアフィッシングであり、電子メールには毒入りの添付ファイルが含まれています。通常、これらはRARまたはZIPファイルなどのアーカイブですが、PowerpointまたはLNKファイルの場合もあります。一部の電子メールには、マルウェアの脅威を含むファイルへのリンクが含まれていました。攻撃自体は複数の段階に分けられました。電子メールから破損したファイルを実行すると、XDDownと呼ばれるメインペイロードのダウンロードをタスクとするスクリプトが実行されます。正常にインストールされると、XDDownは、ハッカーの特定の目標に従って、追加のマルウェアモジュールをドロップできます。セカンダリペイロードに付けられた名前は、XDREcon、XDList、XDMonitor、XDUpload、XDLoc、およびXDPassです。

全体として、XDSpyで使用されるツールには、文字列の難読化や動的なWindowsAPIライブラリの読み込みなどの分析防止手法が含まれていました。侵害されたシステムでの彼らの主な活動は、リムーバブルドライブ、スクリーンショット、およびデータの漏えいを監視することでした。