Een hackersgroep met de naam XDSpy is negen jaar onopgemerkt gebleven. XDSpy is gericht op zowel particuliere als overheidsbedrijven in Wit-Rusland, Rusland, Servië, Moldavië en Oekraïne.
Securitybedrijf ESET ontdekte de nieuwe door de staat gesponsorde hackersgroep (APT). De activiteiten werden begin dit jaar ontdekt. ESET onthulde details over deze groep in een toespraak die ze gaven op de Virus Bulletin 2020-conferentie. De groep heeft vooral verkenningen gedaan en documenten gestolen.
Undercover operaties
Vooral overheidsinstellingen en particuliere bedrijven in Oost-Europa en de Balkan waren doelwit van XDSpy. De landen zijn het meest getroffen, al gaat de schade en de omvang wellicht verder dan gedacht.
ESET zegt dat XDSpy in het duister tastte toen een van hun campagnes werd ontdekt en een veiligheidsalarm werd verstuurd door het CERT Wit-Rusland team, met details over waar ze op moeten letten.
De details van het security-alarm zijn wat ESET in staat stelde om eerdere XDSpy operaties te ontdekken. Matthieu Faou en Francis Labelle stonden aan het hoofd van het onderzoek van ESET.
Niet de ergste malware
De primaire tool die door de groep wordt gebruikt is een malwarekit die ze XDDown noemen. Het was niet precies ‘state-of-the-art’ zoals het Emotet-botnet, maar het was goed genoeg om doelwitten te infecteren en de groep in staat te stellen gevoelige informatie te verzamelen zonder detectie.
De XDDown is een downloader die een computer infecteert en de malware in staat stelt bepaalde taken uit te voeren.
Het zou secundaire modules downloaden, waardoor het niet als malware werd gedetecteerd. Het had ook een aantal geavanceerde functies. Wat de besmettingsmethode betreft, werd er gebruikgemaakt van spear-phishing.
Tip: Cybercriminaliteit steeds geavanceerder: “we kunnen zo niet doorgaan”
10 minuten geleden
