Geral 3min de Leitura - 05 de outubro de 2020

XDSpy: escondidos e ativos por 9 anos

Mão digitando em teclado de computador, simulando um ataque do grupo XDSpy

This post is also available in: Português

Grupo de espionagem cibernética XDSpy operou por quase uma década sem levantar suspeitas.

Atuar discretamente e sem ser pego é algo que dura pouco tempo no mundo dos crimes cibernéticos. Afinal, o tamanho e a quantidade de golpes costumam chamar atenção, e é praticamente impossível ficar longos períodos sem deixar rastros. Assim, quem “faz sucesso” ganha os holofotes e é visto mais facilmente.

Não foi o caso do grupo XDSPy. Segundo pesquisadores da multinacional ESET, as cabeças por trás desse nome estão operando há pelo menos nove anos – porém sua atividade quase não chamou atenção.

Na conferência de segurança Virus Bulletin 2020, a ESET forneceu detalhes sobre as vítimas e operações da Ameaça Persistente Avançada (APT, na sigla em inglês) do XDSpy, nome criado em homenagem ao principal downloader de malware usado em diversos ataques.

Os pesquisadores da ESET Matthieu Faou e Francis Labelle dizem que o grupo vem realizando campanhas de espionagem cibernética pelo menos desde 2011. O principal interesse do XDSpy é na Europa Oriental, em países como Bielorrússia, Moldávia, Rússia, Sérvia e Ucrânia. Eles visam principalmente agências governamentais (militares, Ministérios de Relações Exteriores), embora empresas privadas também estejam entre os alvos.

Antecedentes

O centro nacional de resposta a incidentes de segurança cibernética (CERT) na Bielorrússia publicou em fevereiro um comunicado sobre uma campanha de spear phishing da XDSpy espalhada para mais de 100 alvos – incluindo conselhos e ministérios nacionais.

Logo depois, a ESET começou a fazer descobertas. Contudo, com base no código malicioso usado nos ataques, infraestrutura de rede e vitimologia, os pesquisadores da empresa não conseguiam vincular com segurança a atividade XDSpy a algum grupo APT já conhecido. Foram surgindo então contextos que levavam a acreditar que tratava-se de uma ação independente a ainda não conhecida – que logo mostrou-se bem sofisticada.

A atividade de longo prazo e outros fatores levam a acreditar que, por trás do XDSpy, provavelmente existem profissionais de alto nível. “Cogitamos a hipótese de que os desenvolvedores possam estar trabalhando no fuso horário UTC + 2 ou UTC + 3, que também é o fuso horário da maioria dos alvos. Notamos também que eles estavam trabalhando apenas de segunda a sexta-feira, sugerindo uma atividade profissional”, dizem os pesquisadores.

Ataque sorrateiro

O spear phishing parece ser o principal vetor de ataque do grupo, com e-mails que contêm um arquivo malicioso ou se vinculam a um – geralmente um ZIP ou RAR.

O arquivo contém outro com a extensão LNK, baixando então um script que instala o XDDown, o principal componente usado pelo grupo para driblar as defesas e baixar plug-ins maliciosos do servidor de comando e controle.

A ESET descobriu vários plug-ins usados pelo XDSpy para reconhecimento, coleta de detalhes e roubo de arquivos de interesse com base em sua extensão:

– XDRecon: coleta informações básicas sobre a máquina da vítima (nome do computador, nome de usuário, número de série do volume da unidade principal, etc)

– XDList: faz capturas de tela, rastreia a unidade C: em busca de arquivos interessantes (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab) e exfiltra seus caminhos

– XDMonitor: monitora drives removíveis para roubar os arquivos correspondentes a determinadas extensões.

– XDUpload: rouba uma lista codificada de arquivos do sistema de arquivos

– XDLoc: coleta SSIDs próximos (como pontos de acesso Wi-Fi), provavelmente para fins de geolocalização

– XDPass: rouba senhas de softwares como navegadores da web e programas de e-mail

Em operações mais recentes, os cibercriminosos exploraram uma vulnerabilidade no Internet Explorer (CVE-2020-0968, hoje já corrigida) sobre a qual pouco se sabia na época. Acredita-se que o XDSpy comprou esse exploit de um corretor ou desenvolveu um exploit por conta própria, inspirando-se nos exploits anteriores.

O exploit usado naquele ataque, entretanto, tinha semelhanças com outros usados pelo DarkHotel APT. Contudo, a ESET acredita que não há conexão entre os dois grupos – e as coincidências podem ser explicadas pelo uso do mesmo broker de exploração.

A ESET diz que até começar a explorar a vulnerabilidade do Internet Explorer, o grupo contava com a mesma arquitetura básica de malware. Essa mudança mostra a evolução técnica e pode prever o aumento da atividade do grupo.

Em sua página GitHub, a ESET publicou uma lista de indicadores de comprometimento (IoCs) que inclui hashes para componentes XDSpy conhecidos, detalhes sobre sua infraestrutura de rede e a atividade no sistema infectado. Entretanto, é grande a chance de que haja muito mais a se descobrir sobre o grupo – já que coleciona tantos anos de atividade.

This post is also available in: Português