Dutch IT Chanel Logo mobile
Search icon
Redactie - 05 oktober 2020

ESET-onderzoekers ontdekken XDSpy

Security Data protection
ESET-onderzoekers ontdekken XDSpy image

ESET-onderzoekers hebben een nieuwe APT-groep ontdekt die al sinds 2011 gevoelige documenten steelt van een aantal regeringen in Oost-Europa en de Balkan. De APT-groep, die door ESET XDSpy wordt genoemd, is al negen jaar lang grotendeels onopgemerkt gebleven, iets dat zeer uitzonderlijk is. XDSpy heeft al vele overheidsinstellingen en particuliere bedrijven in gevaar gebracht. Eerder zijn de bevindingen van het onderzoek gepresenteerd op de VB2020 localhost-conferentie.

"De groep heeft tot dusver weinig publieke aandacht getrokken, met uitzondering van een advies van het republiek Belarus CERT in februari 2020", stelt Mathieu Faou, ESET-onderzoeker die de malware analyseerde.

De XDSpy-groep gebruikt spearphishing om hun doelwitten te compromitteren. De e-mails variëren licht, waarbij sommige e-mails een schadelijke bijlage bevatten en andere een link naar een kwaadaardig bestand bevatten. De eerste laag van het kwaadaardige bestand of de bijlage is doorgaans een ZIP- of RAR-archief. Eind juni 2020 hebben de aanvallers operaties opgevoerd door gebruik te maken van een kwetsbaarheid in Internet Explorer, CVE-2020-0968, die in april 2020 gepatcht werd. "De groep heeft in 2020 minstens twee keer gebruik gemaakt van deCOVID-19 pandemie, waaronder een maand geleden, in één van hun lopende spearphishing-campagnes", voegt Faou eraan toe.

"Omdat we geen overeenkomsten met andere malwarefamilies hebben gevonden en we geen overlap in de netwerkinfrastructuur hebben waargenomen, komen we tot de conclusie dat XDSpy een voorheen ongedocumenteerde groep is", concludeert Faou.

De tot nu toe bekende doelwitten van de XDSpy-groep bevinden zich in Oost-Europa en de Balkan; het zijn voornamelijk overheidsinstanties, waaronder krijgsmachten, Ministeries van Buitenlandse Zaken en particuliere ondernemingen. Vanwege de aanvalsmethodieken en doelwitten van deze groeperingen dienen ook Europese landen op de hoogte te zijn van deze onlangs ontdekte APT groepering.

Locatie van bekende slachtoffers van de XDSpy-groep op basis van ESET-telemetrie.

Voor meer technische details over deze spyware, lees de white paper,“XDSpy: stealing government secrets since 2011” op WeLiveSecurity.

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!