ESET揭发自从2011年开始活跃的新APT组织XDSpy
|
XDSpy 是 ESET 研究人员发现至少自从 2011 年以来就一直活跃的 APT 组织。ESET 最近又发现该组织针对白俄罗斯、俄罗斯、塞尔维亚和乌克兰的政府、军队和外交部。 ESET 的安全专家 Matthieu Faou 和 Francis Labelle 在 Virus Bulletin 2020 的一次演讲中披露了该组织的攻击行动。 XDSpy 在 2020 年年初,ESET 研究人员发现了一个之前未公开的攻击活动,针对的是东欧、巴尔干地区和俄罗斯的政府。不同寻常的是,研究表明这个攻击组织至少从 2011 年开始就一直在活跃,而且 TTP 几乎没有变化。专家认为,该攻击组织可能已经攻击了许多其他国家,并且其行动的很大一部分尚未被发现。 2020 年 2 月,白俄罗斯 CERT 发布了有关鱼叉式网络钓鱼攻击的安全公告,该攻击行动被 ESET 和 XDSpy 关联起来,目标是白俄罗斯的几个部委和机构。 攻击工具 XDSpy 组织的工具库中的工具虽然非常有效,但实际上是非常基础的,主要使用名为 XDDown 的 Downloader。XDSpy 的恶意软件支持多种功能,包括监视可移动设备、屏幕截图、窃密文档以及收集 WiFi 接入点的名称。 该组织还通过 NirSoft 从 Web 浏览器和电子邮件客户端窃取密码,以及 Internet Explorer 的漏洞 CVE-2020-0968。ESET 研究表明:“在 XDSpy 利用 CVE-2020-0968 时,不仅还没有 POC 代码,而且有关该漏洞的信息都非常少”,“我们认为 XDSpy 要么直接购买了 Exploit,要么是根据以前的 Exploit 修改而来”。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
