XDSpy：自 2011年以來一直在竊取政府機密

很少見的APT小組九年來一直未被發現，但是XDSpy就是這樣。這是一個自2011年以來一直沒有活動的間諜活動團體。除2020年2月白俄羅斯CERT的咨詢外，它幾乎沒有引起公眾的注意。在此期間，該團體損害了東部的許多政府機構和私人公司歐洲和巴爾干半島。

目標

XDSpy集團的目標位于東歐和巴爾干地區，主要是政府實體，包括軍隊和外交部以及私人公司。圖1顯示了根據ESET遙測已知受害者的位置。

歸因

經過仔細研究，我們無法將XDSpy鏈接到任何公開的APT組：

• 我們沒有發現與其他惡意軟件家族有任何代碼相似性。
• 我們沒有發現網絡基礎結構中有任何重疊。
• 我們不知道有另一個針對這些特定國家和行業的APT小組。

此外，該小組已經活躍了九年多。因此，如果存在這樣的重疊，我們相信很久以前就會注意到這一點，并且發現了該小組。

我們認為開發人員可能正在UTC + 2或UTC + 3時區工作，這也是大多數目標的時區。我們還注意到他們只在星期一至星期五工作，這表明是一項專業活動。

Compromise vectors

XDSpy運營商似乎主要是使用偽造的電子郵件來破壞其目標。實際上，這是我們觀察到的唯一
Compromise vectors。但是，這些電子郵件可能會有所不同：有些包含附件，而另一些包含指向惡意文件的鏈接。惡意文件或附件的第一層通常是ZIP或RAR存檔。

圖2是2020年2月發送的XDSpy魚叉式電子郵件的示例。

電子郵件的內容經過粗略翻譯，內容如下：

該鏈接指向一個包含LNK文件且沒有任何誘餌文檔的ZIP存檔。當受害者雙擊它時，LNK將下載一個附加腳本，該腳本會安裝主要惡意軟件組件XDDown。

在將論文提交給Virus Bulletin之后，我們繼續跟蹤該小組，并且在2020年3月至2020年6月之間暫停了一段時間之后，他們又回來了。2020年6月底，運營商通過使用Internet Explorer中的漏洞CVE-2020-0968（已于2020年4月對此漏洞進行了修補）來加強他們的游戲。C＆C服務器沒有提供帶有LNK文件的存檔，而是提供了RTF文件，一旦打開，便會利用上述漏洞下載HTML文件。

CVE-2020-0968是過去兩年中公開的IE傳統JavaScript引擎中一系列類似漏洞的一部分。在XDSpy對其進行利用時，尚無在線概念證明，也很少有有關此特定漏洞的信息。我們認為XDSpy要么從經紀人那里購買了此漏洞利用，要么通過查看以前的漏洞利用本身來開發1天漏洞利用。

有趣的是，該漏洞利用與以前在DarkHotel活動中使用的漏洞相似，如圖3所示。它也幾乎與2020年9月從白俄羅斯上載到VirusTotal的多米諾骨牌行動中使用的漏洞相同。

鑒于我們不相信XDSpy鏈接到DarkHotel，并且Domino運維看起來與XDSpy完全不同，因此這三個組很可能共享同一漏洞利用代理。

最終，該小組在2020年至少跳了兩次COVID-19貨車。該小組在2020年2月針對白俄羅斯機構的魚叉式運動中首次使用了該主題。然后，在2020年9月，他們針對反對俄語的目標重新使用了該主題。該檔案文件包含一個惡意的Windows腳本文件（WSF），該文件下載XDDown，如圖4所示，并且他們使用了官方網站rospotrebnadzor.ru作為誘餌，如圖5所示。

惡意軟件組件

圖4顯示了通過LNK文件進行泄露的情況下的惡意軟件體系結構，例如2020年2月。

XDDown是主要的惡意軟件組件，嚴格來說是下載器。它使用傳統的“運行”鍵保留在系統上。它使用HTTP協議從硬編碼的C＆C服務器下載其他插件。HTTP回復包含使用硬編碼的兩字節XOR密鑰加密的PE二進制文件。

在研究過程中，我們發現了以下插件：

• XDRecon：收集有關受害計算機的基本信息（計算機名稱，當前用戶名和主驅動器的卷序列號）。
• XDList：搜尋C：驅動器以獲取有趣的文件（.accdb，.doc，.docm，.docx，.mdb，.xls，.xlm，.xlsx，.xlsm，.odt，.ost，.ppt，.pptm，.ppsm，.pptx，.sldm，.pst，.msg，.pdf，.eml和.wab），并提取這些文件的路徑。它也可以截圖。
• XDMonitor：與XDList相似。它還監視可移動驅動器，以提取與有趣擴展名匹配的文件。
• XDUpload：將文件的硬編碼列表從文件系統提取到C＆C服務器，如圖5所示。路徑由XDList和XDMonitor發送到C＆C服務器。

• XDLoc：收集附近的SSID（例如Wi-Fi接入點），可能是為了對受害機器進行地理定位。
• XDPass：從各種應用程序（例如Web瀏覽器和電子郵件程序）中獲取保存的密碼。

結論

XDSpy是一個網絡間諜組織，在過去的幾個月中非常忙碌，但大部分時間都未被發現超過九年。它最有興趣從東歐和巴爾干的政府機構竊取文件。這種定位是非常不尋常的，因此值得關注。

該小組的技術水平往往會有所不同。它已經使用了相同的基本惡意軟件體系結構九年，但是最近還利用了由供應商修補的漏洞，但沒有針對該漏洞的公開概念驗證，即所謂的1天漏洞利用。