ESET-onderzoekers ontdekken XDSpy, een APT-groep die sinds 2011 staatsgeheimen in Europa steelt

Next story

De tot nu toe ongedocumenteerde groep maakt o.a. gebruik van COVID-19 gerelateerde spearphishing.

Sliedrecht, 2 oktober 2020 – ESET-onderzoekers hebben een nieuwe APT-groep ontdekt die al sinds 2011 gevoelige documenten steelt van een aantal regeringen in Oost-Europa en de Balkan. De APT-groep, die door ESET XDSpy wordt genoemd, is al negen jaar lang grotendeels onopgemerkt gebleven, iets dat zeer uitzonderlijk is. XDSpy heeft al vele overheidsinstellingen en particuliere bedrijven in gevaar gebracht. Eerder vandaag zijn de bevindingen van het onderzoek gepresenteerd op de VB2020 localhost-conferentie.

"De groep heeft tot dusver weinig publieke aandacht getrokken, met uitzondering van een advies van het republiek Belarus CERT in februari 2020", stelt Mathieu Faou, ESET-onderzoeker die de malware analyseerde.

De XDSpy-groep gebruikt spearphishing om hun doelwitten te compromitteren. De e-mails variëren licht, waarbij sommige e-mails een schadelijke bijlage bevatten en andere een link naar een kwaadaardig bestand bevatten. De eerste laag van het kwaadaardige bestand of de bijlage is doorgaans een ZIP- of RAR-archief. Eind juni 2020 hebben de aanvallers  operaties opgevoerd door gebruik te maken van een kwetsbaarheid in Internet Explorer, CVE-2020-0968, die in april 2020 gepatcht werd. "De groep heeft in 2020 minstens twee keer gebruik gemaakt van deCOVID-19 pandemie, waaronder een maand geleden, in één van hun lopende spearphishing-campagnes", voegt Faou eraan toe. 

"Omdat we geen overeenkomsten met andere malwarefamilies hebben gevonden en we geen overlap in de netwerkinfrastructuur hebben waargenomen, komen we tot de conclusie dat XDSpy een voorheen ongedocumenteerde groep is", concludeert Faou.

De tot nu toe bekende doelwitten van de XDSpy-groep bevinden zich in Oost-Europa en de Balkan; het zijn voornamelijk overheidsinstanties, waaronder krijgsmachten, Ministeries van Buitenlandse Zaken en particuliere ondernemingen. Vanwege de aanvalsmethodieken en doelwitten van deze groeperingen dienen ook Europese landen op de hoogte te zijn van deze onlangs ontdekte APT groepering. 

Locatie van bekende slachtoffers van de XDSpy-groep op basis van ESET-telemetrie

Voor meer technische details over deze spyware, lees de white paper,“XDSpy: stealing government secrets since 2011” op WeLiveSecurity.

Over ESET

Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.