Преступная кибергруппа XDSpy 9 лет скрытно атаковала госучреждения Восточной Европы

Компания Eset обнаружила APT-группу, которая, по меньшей мере, с 2011 г. похищает конфиденциальные документы государственных учреждений в странах Восточной Европы и Балканского полуострова. Деятельность группы, которая получила название XDSpy, оставалась практически незамеченной в течение девяти лет. Среди целей киберпреступников – государственные учреждения, в том числе военные организации, министерства иностранных дел, и частные компании.

Для компрометации своих целей операторы XDSpy используют фишинговые электронные письма разного типа. Некоторые вредоносные письма содержат вложение, которым, как правило, является архив в формате ZIP или RAR, а другие – ссылку на ZIP-архив с файлом LNK без каких-либо документов-приманок. Когда жертва дважды щелкает на файл, LNK загружает дополнительный сценарий, который устанавливает XDDown – основной компонент вредоносной программы.

В конце июня киберпреступники расширили свою вредоносную деятельность, начав использовать уязвимость в Internet Explorer – CVE-2020-0968, заплатка на которую была выпущена в апреле. Вместо архива с файлом LNK командный сервер (C&C) уже отправлял RTF-файл, при открытии которого загружался HTML-файл, использовавший вышеупомянутую уязвимость.