XDSpy

Die Aktivitäten einer Checker-Gruppe, die sich seit mindestens 2011 der Aufmerksamkeit der Infosec-Community entzogen hat, wurden endlich ans Licht gebracht. Die Forscher nannten das kriminelle Kollektiv XDSpy und glauben, dass es sich um eine staatlich geförderte APT (Advanced Persistent Threat) handelt. Das Hauptgeschäftsfeld von XDSpy ist Osteuropa und der Balkan. Die Ziele reichen von privaten Einrichtungen bis hin zu Regierungsorganisationen.

Das erste Mal, dass die Operationen der Gruppe endgültig festgestellt wurden, war, als das belarussische Computer-Notfallteam eine Warnung veröffentlichte, dass das damals noch nicht genannte Hacker-Kollektiv versuchte, Daten von Ministerien des Landes zu sammeln. Neben Weißrussland hat XDSpy unter anderem Unternehmen in Russland, Moldawien, der Ukraine und Serbien ins Visier genommen. Die Opfer zeigen eine beträchtliche Anzahl verschiedener Typen, von Unternehmen bis hin zu militärischen und diplomatischen Einheiten. Sicherheitsforscher stellten fest, dass die Hacker fünf Tage arbeiteten und ihre Operationen mit der lokalen Zeitzone der Opfer synchronisierten.

XDSpy verlässt sich auf grundlegende und dennoch effektive Malware-Tools

Das von XDSpy verwendete Toolkit zeigt wenig in Bezug auf ausgefeilte Funktionalität, aber das bedeutet keineswegs, dass es nicht effektiv ist. Der bevorzugte Angriffsvektor der Gruppe ist Spear-Phishing mit E-Mails mit vergifteten Anhängen. In der Regel handelt es sich dabei um Archive wie RAR- oder ZIP-Dateien, es können jedoch auch Powerpoint- oder LNK-Dateien sein. Einige E-Mails enthielten einen Link zu der Datei mit der Malware-Bedrohung. Der Angriff selbst war in mehrere Phasen unterteilt. Durch Ausführen der beschädigten Datei aus der E-Mail wird ein Skript ausgeführt, das mit dem Herunterladen der Hauptnutzlast namens XDDown beauftragt ist. Nach erfolgreicher Installation kann XDDown weitere Malware-Module entsprechend den spezifischen Zielen der Hacker löschen. Die Namen der sekundären Nutzdaten lauten XDREcon, XDList, XDMonitor, XDUpload, XDLoc und XDPass.

Insgesamt umfassten die von XDSpy verwendeten Tools Anti-Analyse-Techniken wie die Verschleierung von Zeichenfolgen und das dynamische Laden der Windows-API-Bibliothek. Ihre Hauptaktivitäten auf dem kompromittierten System waren die Überwachung von Wechseldatenträgern, Screenshots und Datenexfiltration.