В июле 2024 года группа кибершпионажа XDSpy совершила новые атаки на российские компании, обнаруженные экспертами F.A.C.C.T. Threat Intelligence. Одной из целей атаки являлась российская IT-компания, занимающаяся разработкой программного обеспечения для контрольно-кассовых машин. Еще одной возможной целью атаки могла быть организация из Молдовы. Группа XDSpy использовала фишинговые письма со ссылками на загрузку RAR-архивов, содержащих вредоносную программу XDSpy.DSDownloader. Они также использовали технику боковой загрузки DLL для запуска вредоносной библиотеки msi.dll.
XDSpy APT
Фишинговые письма, отправляемые XDSpy, маскировались под письма от реальных организаций. В письмах присутствовали ссылки на скачивание RAR-архивов. Однако на момент исследования эти архивы были недоступны. Внутри RAR-архивов находились два исполняемых файла - легитимный файл .exe и вредоносная библиотека msi.dll. Библиотека msi.dll является загрузчиком и имеет функциональность, связанную с загрузкой и запуском файла полезной нагрузки XDSpy.DSDownloader.
XDSpy.DSDownloader имеет несколько ключевых функций. Он извлекает и сохраняет документ-приманку в пользовательской директории, копирует файлы в каталог "C:\Users\Public", создает параметр в реестре для автозапуска вредоносной программы и загружает файл полезной нагрузки с сервера злоумышленника. Однако на момент расследования сам файл полезной нагрузки был недоступен.
Также стоит отметить, что имена вызываемых WinAPI-функций в вредоносной программе XDSpy.DSDownloader были зашифрованы. Данная атака группы XDSpy представляет угрозу для российских компаний и организаций, а также потенциально для компаний в Молдове. Эксперты рекомендуют быть бдительными при открытии фишинговых писем и не кликать на подозрительные ссылки или скачивать вложенные файлы. Также рекомендуется усилить защиту системных ресурсов, включая обновление антивирусных программ и настройку сетевых правил.
Indicators of Compromise
IPv4
- 159.100.6.5
- 185.56.136.50
- 82.221.129.24
- 89.114.69.48
- 89.114.69.65
Domains
- nashtab.org
- obshchiye-resursy.com
- protej.org
- sbordokumentov.com
URLs
- https://nashtab.org/biyasqbuk4/?e&n=GuVZoipdI2UIxk
- https://nashtab.org/pqwebyug3/?n=PDVXCGFwWnCaNv
- https://obshchiye-resursy.com/zpwidnydav/?e&n=V1Z82iODc5twdu
- https://obshchiye-resursy.com/zpwidnydav/?n=Jo9EDoZiYATO77
- https://protej.org/zpwidnydav/?e&n=bVq7NwlXhjYOMT
- https://protej.org/zpwidnydav/?n=wHFbIDNW9YutX
- https://sbordokumentov.com/snirboubd/?n=vAR1Xp9BG2nStq
- https://sbordokumentov.com/snirboubd/?n=ygTQMPQdzlcZ9E
MD5
- 0fd1128bc81eca818909d50f9806fd85
- 1c34280a2228793aad681089179ec0b3
- 2982ac131e49354ec51e645f9db53b40
- 3bd819440fbc91a530c3c659d99564e3
- 94aab070678e6d84f0287cfedc037300
SHA1
- 00bde6ad42ef3cbef9f0f0cc054014435432b17c
- 02760b55fa69392d99633c271e43108c64c21807
- 68d83a5d25d62f0b15912fb70474dd371db1947d
- 7741436dcaf11e16e330cc52a133b6ef59a12812
- a84d557cc726f521354a308436b0620fbe1a051f
SHA256
- 01d092290e410617eb3369bf3682af186ae8da0937ee90acadba75ee5d4e17e4
- 03ea832f0b7531026f1d87dc84ec03f65fe11f3e9de032e5e862b70d8cf0d2d8
- 45bbe6950cabe649513edbe819440935d6be5a6ef715c01f7a95862225262da0
- 65a953a80a0accd3b9a5b0f5c6978dad223273bd4d5ec892737e569c864fc73c
- 78ba21a60241da65cf65e951773bbfd606402a3bf43acc5201e95220d13e8817