XDDown
XDDown est le nom donné au principal outil malveillant déployé dans des campagnes menaçantes par XDSpy, un groupe de hackers classé comme menace persistante avancée (ATP) et éventuellement parrainé par l'État. Les pirates ont jusqu'à présent concentré leurs activités criminelles dans la région de l'Europe de l'Est et des Balkans. Des entités affectées ont été détectées en Biélorussie, en Russie, en Moldavie, en Serbie et en Ukraine.
Le vecteur d'attaque utilisé pour la distribution de XDDown, et en fait, la seule méthode d'attaque attribuée à XDSpy est le spear-phishing. Le texte des e-mails est mis à jour régulièrement et tire parti des événements actuels tels que la pandémie COVID-19. Les pièces jointes empoisonnées ont également subi un changement rapide. XDSpy a utilisé des archives ZIP et RAR pour transporter un fichier PowerPoint ou LNK menaçant. Dans certains cas, les e-mails n'avaient pas de fichiers joints mais contenaient un lien de téléchargement direct.
Si l'utilisateur sans méfiance exécute le fichier dans l'archive, il lance un script corrompu. Jusqu'à présent, deux scripts distincts ont été observés, mais leur objectif final est le même: déposer XDDown sur la machine compromise vers un emplacement codé en dur à% APPDATA% \ WINinit \ WINlogon.exe.
XDDown est un téléchargeur simple mais efficace
XDDown est peut-être le principal outil malveillant de l'arsenal de XDSpy , mais, à elle seule, la menace représente un téléchargeur plutôt basique. Son seul objectif est d'être responsable de la livraison de six autres modules malveillants de XDSpy et il n'a aucune autre fonctionnalité. La persistance est obtenue en exploitant une clé d' exécution de registre Windows via la commande HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ . On a observé que deux versions de XDDown étaient actives dans la nature - une version 32 bits et une version 64 bits.
Pour fournir le reste des modules corrompus, XDDown établit une connexion avec l'infrastructure de commande et de contrôle en effectuant des requêtes GET régulières. Pour le téléchargement des six modules, trois demandes GET distinctes sont requises. Les modules n'ont pas de persistance et doivent être téléchargés à nouveau chaque fois que l'utilisateur compromis se connecte. Les noms qui leur sont attribués par les chercheurs sont XDRecon, XDList, XDMonitor, XDUpload, XDLoc et XDPass, et ils sont tous sous la forme de fichiers DLL Windows.
Alors que la plupart des groupes de hackers APT modernes se dirigent vers des frameworks de malwares plus complexes qui incluent de nombreuses commandes de porte dérobée, XDSpy s'appuie toujours sur des outils relativement peu sophistiqués.
