Un gruppo di cyber spionaggio poco conosciuto, denominato XDSpy, ha recentemente preso di mira aziende in Russia e Moldova attraverso una campagna di phishing. Secondo la società di cybersecurity F.A.C.C.T., la catena di infezioni porta all'installazione di un malware chiamato DSDownloader, come osservato questo mese.
XDSpy, un attore di minacce di origine indeterminata, è stato scoperto per la prima volta dal Computer Emergency Response Team bielorusso, CERT.BY, nel febbraio 2020. Successivamente, un'analisi di ESET ha attribuito al gruppo attacchi di furto di informazioni rivolti ad agenzie governative nell'Europa orientale e nei Balcani dal 2011. Le catene di attacco di XDSpy utilizzano email di spear-phishing per infiltrarsi nei loro obiettivi con un modulo malware principale noto come XDDown, che a sua volta rilascia ulteriori plugin per raccogliere informazioni di sistema, enumerare il drive C:, monitorare dischi esterni, esfiltrare file locali e raccogliere password.
Negli ultimi anni, XDSpy ha preso di mira organizzazioni russe con un dropper basato su C# chiamato UTask, responsabile del download di un modulo principale sotto forma di eseguibile che può ottenere ulteriori payload da un server di comando e controllo (C2). Gli attacchi più recenti utilizzano email di phishing con esche relative ad accordi per propagare un file di archivio RAR contenente un eseguibile legittimo e un file DLL malevolo. Il DLL viene eseguito tramite l'eseguibile utilizzando tecniche di DLL side-loading.
Nella fase successiva, la libreria si occupa di ottenere e eseguire DSDownloader, che apre un file di distrazione mentre scarica furtivamente il malware di fase successiva da un server remoto. F.A.C.C.T. ha riferito che il payload non era più disponibile per il download al momento dell'analisi. Con l'inizio della guerra russo-ucraina nel febbraio 2022, c'è stata un'escalation significativa degli attacchi informatici da entrambe le parti, con aziende russe compromesse da DarkWatchman RAT e da cluster di attività monitorati come Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits e Sticky Werewolf, tra gli altri.
Inoltre, gruppi hacktivisti pro-Ucraina come Cyber.Anarchy.Squad hanno preso di mira entità russe, conducendo operazioni di hacking e diffusione di dati e attacchi dirompenti contro Infotel e Avanpost. Lo sviluppo arriva mentre il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha avvertito di un aumento degli attacchi di phishing effettuati da un attore di minacce bielorusso chiamato UAC-0057 (noto anche come GhostWriter e UNC1151) che distribuisce una famiglia di malware denominata PicassoLoader con l'obiettivo di installare un Cobalt Strike Beacon sugli host infetti.
Inoltre, è stata scoperta una nuova campagna del gruppo Turla legato alla Russia che utilizza un file di scorciatoia di Windows (LNK) malevolo come canale per servire una backdoor senza file che può eseguire script PowerShell ricevuti da un server legittimo ma compromesso e disabilitare le funzionalità di sicurezza. Secondo i ricercatori di G DATA, questa tecnica impiega il patching della memoria, bypassa AMSI e disabilita le funzionalità di registrazione degli eventi del sistema per migliorare le capacità di evasione.
