根據Eset的分析,XDSpy主要透過魚叉式網釣郵件進行攻擊,這些電子郵件有時夾帶惡意的ZIP或RAR檔案,有時則含有惡意網站連結,也曾利用今年的武漢肺炎(COVID-19)議題發動攻擊,鎖定的目標包括各國政府的軍事單位與外交部,也有些私人企業被駭。示意圖,圖片來源/Eset,https://vblocalhost.com/uploads/VB2020-Faou-Labelle.pdf

總部位於斯洛伐克的資安業者Eset本周揭露了一個被命名為XDSpy的駭客集團,宣稱它是個從未被記錄過的持續性進階攻擊(APT)組織,而且已秘密運作長達9年之久,從2011年起就開始滲透東歐與巴爾幹半島的政府組織,也有部份企業受害。

Eset的安全研究人員Mathieu Faou表示,外界很少注意到XDSpy,唯一的一次是白俄羅斯的網路危機處理暨協調中心(CERT)曾經在今年2月發出有關XDSpy的警告。

根據Eset的分析,XDSpy主要透過魚叉式網釣郵件進行攻擊,這些電子郵件有時夾帶惡意的ZIP或RAR檔案,有時則含有惡意網站連結,也曾利用今年的武漢肺炎(COVID-19)議題發動攻擊,鎖定的目標包括各國政府的軍事單位與外交部,也有些私人企業被駭。

除了網釣郵件之外,XDSpy在今年6月進一步開採了微軟於今年4月修補的IE漏洞CVE-2020-0968來展開攻擊。研究人員分析,坊間有關CVE-2020-0968的細節並不多,而且也未出現概念性驗證程式,揣測其攻擊程式很可能是自己研發或是對外購買的。

當駭客於受害者電腦上植入後門之後,就會下載其它的外掛模組,以用來蒐集系統上的基本資料,爬梳硬碟內容,監控外接裝置,汲取本地端的檔案,也會蒐集附近的Wi-Fi熱點資訊與瀏覽器所儲存的密碼等。

由於研究人員並未發現與XDSpy相似的惡意程式家族或網路架構,因此認為它從未被發現或記錄過。

熱門新聞


Advertisement