ESET 研究人员最近发现了一个新的APT 组织——XDSpy,该组织自2011年以来一直活跃,主要攻击东欧和塞尔维亚的政府组织,并窃取敏感文件。XDSpy APT 组织从2011年开始活跃,但直到最近才被发现。APT 组织能够活跃9年而不被发现。
目标
XDSpy APT该组织的攻击目标主要位于东欧和塞尔维亚,主要是军事和外交政府机构和少数私营企业。图1 已知受害者的分布:
归属
经过仔细分析,研究人员仍未发现XDSpy APT组织与现有APT 组织之间的关系:
·与其他恶意软件家族的代码没有相似之处;
·网络基础设施没有重叠;
·没有发现别的APT 组织的攻击目标重叠。
研究人员认为是这样APT 组织黑客的工作地点可能位于UTC 2 / UTC 3 时区,这也是大多数攻击目标所在的时区。另外,攻击者的活动时间只有周一到周五,所以攻击应该属于职业活动。
攻击向量
XDSpy 运营商主要使用鱼叉钓鱼邮件攻击目标。这也是研究人员发现的唯一攻击向量,但邮件不同:有些包含附件,有些包含恶意文件的链接。恶意文件或附件的第一层通常是zip或RAR 文件。图片 2 是2020年2月发送的鱼叉式钓鱼攻击邮件的例子:
邮件中包含一个指向含有LNK文件的zip文件。受害者双击后,LNK恶意软件主组件的下载和安装XDDown 脚本。2020年6月,运营商还使用了今年4月修复的脚本IE 漏洞CVE-2020-0968。C2 不会直接传播LNK相反,传播一个文件RTF 文件打开后会下载使用CVE-2020-0968 漏洞的HTML 文件。
XDSpy 利用CVE-2020-0968 漏洞时网上没有公开漏洞PoC,而且关于这个漏洞的信息也很少。因此,研究人员猜测XDSpy 可以从代理商处购买利用或开发漏洞。1-day漏洞利用。
但是研究人员该漏洞利用与DarkHotel 攻击活动中的漏洞利用有一定的相似性,如图3所示。几乎和今年9月的一样Operation Domino漏洞的使用完全相同。
虽然有相似之处,但研究人员并不认为这一点XDSpy与DarkHotel和Operation Domino 相关性,研究人员猜测,这三个黑客组织可以利用代理商共享相同的漏洞。
文件中有一个下载XDDown的恶意Windows 脚本文件(WSF),如图4所示,然后使用官方网站rospotrebnadzor.ru 作为诱饵,如图5所示:
恶意软件组件
图 6 是恶意软件的结构,入侵是通过LNK实现文件。
XDDown它是恶意软件的主要组件,是下载器。将使用传统的Run key停留在系统中。并使用它HTTP协议从硬编码开始C2下载额外插件的服务器。HTTP用硬编码回复2字节XOR密钥加密的PE二进制文件。
研究人员发现了以下组件:
·XDRecon: 收集计算机名称、当前用户名、硬盘序列号等与受害者机器相关的基本信息;
·XDList: 爬取C磁盘特定文件,窃取这些文件的路径,并截屏;
·XDMonitor: 与XDList类似地,监控移动硬盘窃取与特定扩展相匹配的文件;
·XDUpload: 从文件系统中窃取硬编码的文件列表并发送到C2 服务器如图5所示。路径通过XDList和XDMonitor发送到C2 服务器。
·XDLoc:在附近收集SSID可能是为了定位受害者的设备;
·XDPass: 从不同的应用程序中捕获保存的密码,如web 浏览器和邮件程序;
结论
XDSpy一个活跃了9年以上的人APT 组织主要攻击东欧和塞尔维亚的政府机构,窃取相关敏感文件。从技术上讲,该组织的恶意软件在过去9年中使用了相同的基本恶意软件框架,但最近也开始使用未公开的软件PoC的1-day 使用漏洞。目前还没有发现。APT 组织与其他黑客组织的关系。
更多关于恶意软件组件的分析见白皮书:https://vblocalhost.com/uploads/VB2020-Faou-Labelle.pdf
本文翻译自:https://www.welivesecurity.com/2020/10/02/xdspy-stealing-government-secrets-since-2011/如若转载,请注明原文地址: