[图]ESET发现黑客组织XDSpy：已隐秘运行9年多时间

总部位于斯洛伐克的网络安全公司 ESET 近日发现了一个由政府资助的黑客组织–XDSpy。该组织非常低调和隐秘，直到今年年初的黑客浪潮中才出现显露出来，此前已经隐秘运行 9 年多时间。

在 Virus Bulletin 2020 安全会议的演讲中，ESET 研究人员首次详细介绍了该小组的运作。ESET表示，该组织的主要重点是侦察和文件盗窃。它的目标是东欧和巴尔干地区的政府机构和私人公司。根据ESET遥测数据，目标国家包括白俄罗斯，摩尔多瓦，俄罗斯，塞尔维亚和乌克兰，但其他 XDSpy 操作可能仍未被发现。

ESET 表示，在 CERT 白俄罗斯小组发出的安全警报中检测到并详细描述了其中一个活动之后，该组织快速取消了这种活动的运营。ESET 表示，使用此安全警报作为初步线索，它能够发现过去的 XDSpy操作。两位负责对 XDSpy 进行调查的 ESET 安全研究人员 Matthieu Faou 和 Francis Labelle 说，该组织的主要工具是一个名为 XDDown 的恶意软件工具箱。

Faou 表示这款恶意软件工具箱虽然不是最先进的，但是足以感染受害者并帮助该组织从受感染目标中收集敏感数据。ESET 将 XDDown 描述为“下载器”，用于感染受害者，然后下载执行各种专门任务的辅助模块。

这阻止了安全工具将XDDown本身检测为恶意软件，但也允许该恶意软件具有一些非常高级的功能。XDDown模块包括：

XDREcon-一个模块，用于扫描受感染的主机，收集技术规格和操作系统详细信息，并将数据发送回XDDown / XDSpy命令和控制服务器。

XDList-一个模块，用于在受感染的计算机中搜索具有特定文件扩展名的文件（与Office相关的文件，PDF和地址簿）。

XDMonitor-一个模块，用于监视将哪种设备连接到受感染的主机。

XDUpload-接收由XDList标识的文件并将其上传到XDXpy服务器的模块。

XDLoc-收集有关附近WiFi网络的信息的模块，据信该信息已被用来使用公共WiFi网络的地图跟踪受害者的活动。

XDPass-从本地安装的浏览器提取密码的模块。

2020-10-03 14:02:32