XDSpy — одна из самых таинственных и малоизученных кибершпионских групп. Впервые ее засек в феврале 2020 года белорусский CERT, хотя сама группа активна как минимум с 2011 года. Большинство целей XDSpy находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании. Но несмотря на то, что XDSpy с завидной регулярностью появляется на радарах, международные специалисты так и не определились, в интересах какой страны работает эта хак-группа. Итак, что случилось? Во вторник, 11 июля, Центр кибербезопасности F.A.C.C.T. получил оповещение о том, система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR задетектила вредоносную рассылку. Системе потребовалось всего пару минут, чтобы "сдетонировать" вредоносную нагрузку и извлечь индикаторы, по которым удалось атрибутировать атаку к шпионской группе XDSpy. Среди вероятных целей хакеров оказались несколько российских компаний и организаций, и один из известных научно-исследовательских институтов. Изображение 1. Процесс извлечения вредоносного файла по ссылке в письме в системе F.A.C.C.T. MXDR Изображение 2. Атрибуция с помощью F.A.C.C.T. Threat Intelligence по домену files-manager[.]com, содержащему полезную нагрузку. Письмо-приманка, подписанное Министерством по чрезвычайным ситуациям, довольно странное — тема сообщения абсолютно не соответсвует функциям МЧС. В тексте письма получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожают, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры. Изображение 3. Скриншот письма-приманки из рассылки, которая шла в ночь с 10 на 11 июля. Под видом файла-приманки Spisok_rabotnikov.pdf со списком врачей (!) одной из клиник Ростова-на-Дону загружается вредоносная программа, которая собирает чувствительные данные и документы с компьютера жертвы. Изображение 4. Ряд выявленных индикаторов в результате детонации вредоносного экземпляра в Malware Detonation Platform F.A.C.C.T. MXDR. После обнаружения новой кампании XDSpy Аветик Надирян, руководитель группы по выявлению и реагированию на киберинциденты Центра кибербезопасности F.A.C.C.T., провел первичный анализ рассылки для ее атрибуции и определения масштаба атаки, а затем к реверсу подключилась “тяжелая артиллерия” в лице Дмитрия Купина, ведущего специалиста по анализу вредоносного кода компании F.A.C.C.T. Их находки и индикаторы компроментации мы приводим ниже. Анализ рассылки 11 июня Внутри письма содержится гиперссылка hxxps://files-manager[.]com/document/Spisok_rabotnikov/Spisok_rabotnikov/idx/download/grWUbTk00UWnSutvoJLaUkJyI в имени документа Spisok_rabotnikov.pdf, которая ведет на загрузку вредоносного архива Spisok_rabotnikov.zip. Архив Spisok_rabotnikov.zip для рассылки был подготовлен 10.07.2023. Архив Spisok_rabotnikov.zip содержит 2 файла: Spisok_rabotnikov.lnk - запускает C# код задачи UTask, содержащийся в файле .DS_Store. .DS_Store - содержит мусорные строки, команды оболочки командной строки, C# код задачи UTask, настройки проекта сборки и закодированную алгоритмом Base64 полезную нагрузку, которая представлена в виде 9 исполняемых файлов: две DLL легитимные, а остальные семь DLL - задачи, запускающиеся через MSBuild.exe. В результате выполнения задач происходит демонстрация файла-приманки, скрытая загрузка файла полезной нагрузки HealthDataExperience.exe с сетевого ресурса files-manager[.]com и его последующий запуск. Подробное техническое описание функциональных возможностей представлено в статье по ссылке. 13.07.2023 https://habr.com/ru/companies/f_a_c_c_t/news/747540/
