Các công ty ở Nga và Moldova đã trở thành mục tiêu của một chiến dịch lừa đảo được dàn dựng bởi một nhóm gián điệp mạng ít được biết đến được gọi là XDSpy.
Những phát hiện này đến từ công ty an ninh mạng F.A.C.C.T., cho biết các chuỗi lây nhiễm dẫn đến việc triển khai một phần mềm độc hại có tên DSDownloader. Hoạt động này đã được quan sát trong tháng này, nó nói thêm.
XDSpy là một tác nhân đe dọa có nguồn gốc không xác định lần đầu tiên được phát hiện bởi Nhóm ứng phó khẩn cấp máy tính Belarus, CERT. BY, vào tháng 2 năm 2020. Một phân tích tiếp theo của ESET cho rằng nhóm này đã tấn công đánh cắp thông tin nhằm vào các cơ quan chính phủ ở Đông Âu và Balkan kể từ năm 2011.
Các chuỗi tấn công được gắn bởi kẻ thù được biết là tận dụng các email lừa đảo để xâm nhập vào mục tiêu của chúng bằng một mô-đun phần mềm độc hại chính được gọi là XDDown, từ đó, thả các plugin bổ sung để thu thập thông tin hệ thống, liệt kê ổ C:, giám sát ổ đĩa ngoài, trích xuất các tệp cục bộ và thu thập mật khẩu.
Trong năm qua, XDSpy đã được quan sát thấy nhắm mục tiêu vào các tổ chức Nga với một trình nhỏ giọt C # base có tên UTask chịu trách nhiệm tải xuống một mô-đun cốt lõi dưới dạng tệp thực thi có thể lấy nhiều tải trọng hơn từ máy chủ chỉ huy và kiểm soát (C2).
Tập hợp các cuộc tấn công mới nhất đòi hỏi phải sử dụng các email lừa đảo với các mồi liên quan đến thỏa thuận để truyền bá tệp lưu trữ RAR có chứa tệp DLL thực thi hợp pháp và độc hại. DLL sau đó được thực hiện bằng phương tiện trước đây bằng cách sử dụng các kỹ thuật tải bên DLL.
Trong giai đoạn tiếp theo, thư viện đảm nhận việc tìm nạp và chạy DSDownloader, do đó, mở một tệp mồi nhử như một sự phân tâm trong khi lén lút tải xuống phần mềm độc hại giai đoạn tiếp theo từ một máy chủ từ xa. F.A.C.C.T. cho biết trọng tải không còn có sẵn để tải xuống tại thời điểm phân tích.
Sự khởi đầu của cuộc chiến Nga-Ukraine vào tháng 2/2022 đã chứng kiến sự leo thang đáng kể trong các cuộc tấn công mạng ở cả hai bên, với các công ty Nga bị xâm phạm bởi DarkWatchman RAT cũng như các cụm hoạt động được theo dõi như Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits và Sticky Werewolf, trong số những người khác trong những tháng gần đây.
Hơn nữa, các nhóm hacker ủng hộ Ukraine như Cyber.Anarchy.Squad cũng đã nhắm đến các thực thể Nga, tiến hành các hoạt động hack và rò rỉ và các cuộc tấn công gây rối chống lại Infotel và Avanpost.
Sự phát triển này diễn ra khi Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) cảnh báo về sự gia tăng đột biến các cuộc tấn công lừa đảo được thực hiện bởi một tác nhân đe dọa Belarus có tên UAC-0057 (hay còn gọi là GhostWriter và UNC1151) phân phối một họ phần mềm độc hại được gọi là PicassoLoader với mục đích thả Cobalt Strike Beacon trên các máy chủ bị nhiễm.