0
0
Pesquisadores da ESET publicaram hoje detalhes sobre um ator de ameaças que opera há pelo menos nove anos, mas sua atividade atraiu quase nenhuma atenção do público.
Passar em grande parte despercebido por tanto tempo é uma ocorrência rara nos dias de hoje, à medida que campanhas maliciosas de adversários de longa data se sobrepõem em um ponto ou dão pistas suficientes para os pesquisadores determinarem que o mesmo ator está por trás deles.
Não o suficiente para atribuição
Na conferência de segurança do Virus Bulletin 2020 hoje, a ESET forneceu detalhes sobre as vítimas e operações de uma ameaça persistente avançada recém-descoberta (APT) chamada XDSpy, após o principal downloader de malware usado em ataques.
Os pesquisadores de malware da ESET Matthieu Faou e Francis Labelle dizem que o grupo tem feito campanhas de espionagem cibernética desde pelo menos 2011.
O principal interesse da XDSpy está nas regiões da Europa Oriental e dos Balcãs (Bielorrússia, Moldávia, Rússia, Sérvia e Ucrânia), tendo como alvo principalmente agências governamentais (militares, Ministérios das Relações Exteriores), embora empresas privadas também estejam entre suas vítimas.
Antes do relatório da ESET, o Centro Nacional de Resposta a Incidentes de Cibersegurança (CERT) na Bielorrússia publicou em fevereiro de 2020 um aviso sobre uma campanha de phishing de lança XDSpy espalhada para mais de 100 alvos, entre eles:
- Conselho da República
- Conselho de Ministros
- Ministério da Economia
- Ministério da Fazenda
- Ministério da Indústria
- Ministério da Informação
- Comitê Estadual de Padronização
- Agências de aplicação da lei, bem como pessoas físicas e jurídicas
Com base no código malicioso usado em ataques, infraestrutura de rede e vitimologia, os pesquisadores da ESET não puderam vincular com confiança a atividade do XDSpy a um grupo APT conhecido. Desde que a atividade de longo prazo e outros fatores, por trás do XDSpy é provavelmente um ator profissional.
“Acreditamos que os desenvolvedores podem estar trabalhando no fuso horário UTC+2 ou UTC+3, que também é o fuso horário da maioria dos alvos. Também notamos que eles só estavam trabalhando de segunda a sexta-feira, sugerindo uma atividade profissional” – ESET
Ferramentas de ataque e táticas
O phishing de lança parece ser o principal vetor de ataque do grupo, com e-mails que contêm um arquivo malicioso ou link para um (tipicamente um arquivo ZIP ou RAR).
O arquivo contém um arquivo LNK que baixa um script que instala o XDDown, o principal componente usado pelo grupo para estabelecer persistência e baixar plugins maliciosos do servidor de comando e controle (codificado).
A ESET descobriu vários plugins usados pelo XDSpy para reconhecimento, coleta de detalhes e roubo de arquivos de interesse com base em sua extensão:
- XDRecon: coleta informações básicas sobre a máquina da vítima (nome do computador, nome de usuário atual, número de série de volume da unidade principal)
- XDList: tira capturas de tela, crawls the C: drive for interesting files (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .pptm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab) e exfiltrates seus caminhos
- XDMonitor: monitora unidades removíveis para roubar os arquivos que correspondem a uma extensão interessante.
- XDUpload: rouba uma lista codificada de arquivos do sistema de arquivos
- XDLoc: coleta SSIDs próximos (como pontos de acesso Wi-Fi), provavelmente para fins de geolocalização
- XDPass: rouba senhas de aplicativos como navegadores da Web e programas de e-mail
Em operações mais recentes (final de junho), o ator explorou uma vulnerabilidade no Internet Explorer (CVE-2020-0968 – corrigida em abril) na qual pouco se sabia na época e nenhum código de exploração de prova de conceito existia.
“Achamos que o XDSpy comprou essa exploração de um corretor ou desenvolveu uma exploração de 1 dia, olhando para explorações anteriores para inspiração” – ESET
A exploração usada nesse ataque, porém, teve semelhanças com outras façanhas usadas pela DarkHotel APT. No entanto, a ESET acredita que não há conexão entre os dois grupos e que o terreno comum pode ser contabilizado pelo uso do mesmo corretor de exploração.
A ESET diz que, até passar a explorar a vulnerabilidade do IE, o grupo se baseava na “mesma arquitetura básica de malware”. Este switch mostra evolução técnica e pode prever o aumento da atividade deste ator.
Em sua página no GitHub,a ESET publicou uma lista abrangente de indicadores de compromisso (IoCs) que inclui hashes para componentes XDSpy conhecidos, detalhes sobre sua infraestrutura de rede e a atividade no sistema infectado.
FONTE: BLEEPING COMPUTER