Οι ερευνητές ασφαλείας της ESET ανακάλυψαν μια νέα APT ομάδα που κλέβει ευαίσθητα κι εμπιστευτικά δεδομένα από κυβερνήσεις και επιχειρήσεις στην Ανατολική Ευρώπη και ιδιαίτερα τη Λευκορωσία και τη Ρωσία, εδώ και τουλάχιστον εννέα χρόνια. Σύμφωνα με την ESET, η APT ομάδα με την ονομασία “XDSpy”, δεν παρουσιάζει ομοιότητες ως προς τον κακόβουλο κώδικα, την υποδομή δικτύου ή του στόχους με οποιαδήποτε άλλη APT ομάδα που είναι γνωστή στο τοπίο των απειλών. Επιπλέον, λειτουργεί σε μεγάλο βαθμό σε μια ζώνη ώρας GMT + 2 ή +3, ίδια με τους στόχους της, με τις επιχειρήσεις να λειτουργούν μόνο Δευτέρα-Παρασκευή.
Η νέα APT ομάδα που στοχεύει Λευκορωσία και Ρωσία, χρησιμοποιεί ως μέθοδο το spear-phishing για να θέσει σε κίνδυνο τους στόχους της, ενώ τα email που αποστέλλει ενδέχεται να περιέχουν και κακόβουλα συνημμένα ή αρχεία RAR ή ZIP.
Από τη μία πλευρά, έχει χρησιμοποιήσει την ίδια αρχιτεκτονική malware για εννέα χρόνια, με το κύριο στοιχείο XDDown malware να λαμβάνεται στον υπολογιστή ενός θύματος από C&C server. Αυτό εγκαθιστά πρόσθετα plugins με στόχο τη συλλογή βασικών πληροφοριών, την ανίχνευση της μονάδας δίσκου C, την αποβολή τοπικών αρχείων, τη συλλογή κωδικών πρόσβασης browser και άλλα.
Από την άλλη πλευρά, πρόσφατα εντοπίστηκε να εκμεταλλεύεται το CVE-2020-0968. Η ESET ανέφερε ότι εκείνη την εποχή η XDSpy εκμεταλλεύτηκε το CVE-2020-0968, ωστόσο πολύ λίγες πληροφορίες σχετικά με αυτήν τη συγκεκριμένη ευπάθεια στο Διαδίκτυο ήταν γνωστές. Η εταιρεία εικάζει ότι η XDSpy είτε αγόρασε αυτό το exploit από έναν πωλητή είτε ανέπτυξε η ίδια ένα 1-day exploit, κοιτάζοντας τα προηγούμενα exploits για έμπνευση.
Η ESET αρνήθηκε να υποθέσει ποιος θα μπορούσε να βρίσκεται πίσω από την XDSpy. Ενδιαφέρεται περισσότερο για το ότι κλάπηκαν πληροφορίες από κυβερνητικούς φορείς της Ανατολικής Ευρώπης και των Βαλκανίων, συμπεριλαμβανομένης μιας εκστρατείας κατά κυβερνητικών φορέων και οργανισμών της Λευκορωσίας τον Φεβρουάριο και κατά ρωσόφωνων τον Σεπτέμβριο. Αξίζει να σημειωθεί ότι η Μολδαβία, η Σερβία, η Ρωσία και η Ουκρανία δέχονται επίθεση από το 2011.
Ο Mathieu Faou, ερευνητής της ESET, δήλωσε ότι η APT ομάδα έχει προσελκύσει ελάχιστα την προσοχή του κοινού μέχρι στιγμής, με εξαίρεση μια συμβουλευτική που εξέδωσε η Λευκορωσική CERT τον Φεβρουάριο του 2020. Ο Faou πρόσθεσε ακόμη πως δεδομένου ότι η εταιρεία δεν βρήκε ομοιότητες κώδικα με άλλες οικογένειες malware και δεν παρατήρησε αλληλεπικάλυψη στην υποδομή δικτύου, συμπέρανε ότι η XDSpy είναι μια ομάδα που δεν έχει ξανά καταγραφεί στο τοπίο των απειλών στο παρελθόν.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/272551/xdspy-i-nea-apt-omada-pou-stoxevei-leykorosia-kai-rosia/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:5e5a79595993d72700019cc7101de062/https://www.secnews.gr/hack-hacker-cyber-thief-theft-stolen-100613858-large.jpg&description=Η νέα APT ομάδα "XDSpy" που κλέβει δεδομένα από κυβερνήσεις και επιχειρήσεις στην Ανατολική Ευρώπη (Λευκορωσία και τη Ρωσία).){kind=link}