XDDown
XDDown ist der Name für das Haupt-Malware-Tool, das von XDSpy, einer Hacker-Gruppe, die als Advanced Persistent Threat (ATP) eingestuft und möglicherweise staatlich gesponsert ist, in Bedrohungskampagnen eingesetzt wird. Die Hacker haben ihre kriminellen Aktivitäten bisher auf die Region Osteuropa und den Balkan konzentriert. Betroffene Personen wurden in Belarus, Russland, Moldawien, Serbien und der Ukraine entdeckt.
Der Angriffsvektor, der für die Verteilung von XDDown verwendet wird, und tatsächlich ist die einzige Angriffsmethode, die XDSpy zugeschrieben wurde, ist Spear-Phishing. Der E-Mail-Text wird regelmäßig aktualisiert und nutzt aktuelle Ereignisse wie die COVID-19-Pandemie. Die vergifteten Anhänge haben sich ebenfalls schnell verändert. XDSpy hat ZIP- und RAR-Archive verwendet, um eine bedrohliche PowerPoint- oder LNK-Datei zu übertragen. In einigen Fällen hatten die E-Mails keine angehängten Dateien, sondern einen direkten Download-Link.
Wenn der ahnungslose Benutzer die Datei im Archiv ausführt, initiiert er ein beschädigtes Skript. Bisher wurden zwei unterschiedliche Skripte beobachtet, aber ihr Endziel ist ein und dasselbe - XDDown auf dem gefährdeten Computer an einem fest codierten Speicherort unter% APPDATA% \ WINinit \ WINlogon.exe abzulegen.
XDDown ist ein einfacher und dennoch effektiver Downloader
XDDown ist zwar das wichtigste Malware-Tool im XDSpy -Arsenal, aber die Bedrohung stellt für sich genommen einen eher einfachen Downloader dar. Ihr einziger Zweck besteht darin, für die Lieferung von sechs anderen Malware-Modulen von XDSpy verantwortlich zu sein, und es verfügt über keine weiteren Funktionen. Die Persistenz wird durch Ausnutzen eines Windows-Registrierungsausführungsschlüssels über den Befehl HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ erreicht. Es wurde beobachtet, dass zwei Versionen von XDDown in freier Wildbahn aktiv sind - eine 32-Bit- und eine 64-Bit-Version.
Um den Rest der beschädigten Module bereitzustellen, stellt XDDown eine Verbindung mit der Command-and-Control-Infrastruktur her, indem regelmäßige GET-Anforderungen gestellt werden. Für den Download aller sechs Module sind drei separate GET-Anforderungen erforderlich. Die Module haben keine Persistenz und müssen jedes Mal neu heruntergeladen werden, wenn sich der gefährdete Benutzer anmeldet. Die ihnen von Forschern zugewiesenen Namen sind XDRecon, XDList, XDMonitor, XDUpload, XDLoc und XDPass und liegen alle in Form von Windows-DLL-Dateien vor.
Während die meisten modernen APT-Hacker-Gruppen komplexere Malware-Frameworks verwenden, die zahlreiche Backdoor-Befehle enthalten, setzt XDSpy immer noch auf relativ unkomplizierte Tools.
