Des entreprises en Russie et en Moldavie ont été la cible d’une campagne de phishing orchestrée par un groupe de cyberespionnage peu connu connu sous le nom de XDSpy.
Le résultats Les informations proviennent de la société de cybersécurité FACCT, qui a déclaré que les chaînes d’infection ont conduit au déploiement d’un logiciel malveillant appelé DSDownloader. L’activité a été observée ce mois-ci, a-t-elle ajouté.
XDSpy est un acteur de menace d’origine indéterminée qui a été d’abord découvert par l’équipe d’intervention d’urgence informatique biélorusse, CERT.BY, en février 2020. Une analyse ultérieure par ESET attribué le groupe à attaques de vol d’informations destiné aux agences gouvernementales d’Europe de l’Est et des Balkans depuis 2011.
Les chaînes d’attaque montées par l’adversaire sont connues pour exploiter les e-mails de spear-phishing afin d’infiltrer leurs cibles avec un module de malware principal connu sous le nom de XDDown qui, à son tour, dépose des plugins supplémentaires pour collecter des informations système, énumérer le lecteur C:, surveiller les lecteurs externes, exfiltrer les fichiers locaux et collecter les mots de passe.
Au cours de l’année écoulée, XDSpy a été observé ciblage Organisations russes avec un dropper basé sur C# nommé UTask qui est responsable du téléchargement d’un module principal sous la forme d’un exécutable qui peut récupérer davantage de charges utiles à partir d’un serveur de commande et de contrôle (C2).
La dernière série d’attaques consiste à utiliser des e-mails de phishing contenant des leurres liés à des accords pour propager un fichier d’archive RAR contenant un exécutable légitime et un fichier DLL malveillant. Le fichier DLL est ensuite exécuté au moyen du premier à l’aide de techniques de chargement latéral de DLL.
Dans la phase suivante, la bibliothèque se charge de récupérer et d’exécuter DSDownloader, qui, à son tour, ouvre un fichier leurre pour détourner l’attention tout en téléchargeant subrepticement le malware de la phase suivante à partir d’un serveur distant. FACCT a déclaré que la charge utile n’était plus disponible au téléchargement au moment de l’analyse.
Le début de la guerre russo-ukrainienne en février 2022 a été témoin d’une escalade significative des cyberattaques des deux côtés, les entreprises russes compromis par DarkWatchman RAT ainsi que par des groupes d’activité suivis comme Loup-garou de baseChiens de l’enfer, PhantomCore, Loup rare, ReaverBitset Sticky Werewolf, entre autres ces derniers mois.
De plus, pro-ukrainien groupes hacktivistes Des groupes tels que Cyber.Anarchy.Squad ont également jeté leur dévolu sur des entités russes, menant des opérations de piratage et de fuite et des attaques perturbatrices contre Infotel et Avanpost.
Cette évolution intervient alors que l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) averti d’une augmentation des attaques de phishing menées par un acteur de menace biélorusse appelé UAC-0057 (alias GhostWriter et UNC1151) qui distribue une famille de logiciels malveillants appelée PicassoLoader dans le but de larguer une balise Cobalt Strike sur les hôtes infectés.
Cela fait également suite à la découverte d’une nouvelle campagne du groupe Turla lié à la Russie qui utilise un fichier de raccourci Windows malveillant (LNK) comme conduit pour servir une porte dérobée sans fichier qui peut exécuter des scripts PowerShell reçus d’un serveur légitime mais compromis et désactiver les fonctionnalités de sécurité.
« Il utilise également des correctifs de mémoire, contourne AMSI et désactive les fonctions de journalisation des événements du système pour affaiblir la défense du système afin d’améliorer sa capacité d’évasion », ont déclaré les chercheurs de G DATA. dit« Il exploite msbuild.exe de Microsoft pour implémenter le contournement AWL (Application Whitelist) afin d’éviter la détection. »