Bedrijven in Rusland en Moldavië zijn het doelwit geweest van een phishingcampagne die georkestreerd werd door een weinig bekende cyberespionagegroep die bekend staat als XDSpy.
De bevindingen komen van cybersecuritybedrijf FACCT, dat zei dat de infectieketens leiden tot de inzet van een malware genaamd DSDownloader. De activiteit werd deze maand waargenomen, voegde het toe.
XDSpy is een dreigingsactor van onbekende oorsprong die voor het eerst werd ontdekt door het Belarussische Computer Emergency Response Team, CERT.BY, in februari 2020. Een daaropvolgende analyse door ESET schreef de groep toe aan informatie-diefstalaanvallen gericht op overheidsinstanties in Oost-Europa en de Balkan sinds 2011.
Het is bekend dat de aanvalsketens van de tegenstander gebruik maken van spear-phishing-e-mails om hun doelwitten te infiltreren met een belangrijke malwaremodule genaamd XDDown. Deze module plaatst op zijn beurt extra plug-ins voor het verzamelen van systeemgegevens, het inventariseren van schijf C:, het bewaken van externe schijven, het exfiltreren van lokale bestanden en het verzamelen van wachtwoorden.
Het afgelopen jaar is waargenomen dat XDSpy Russische organisaties aanvalt met een op C# gebaseerde dropper genaamd UTask. Deze dropper is verantwoordelijk voor het downloaden van een kernmodule in de vorm van een uitvoerbaar bestand dat meer payloads kan ophalen van een command-and-control (C2)-server.
De laatste reeks aanvallen omvat het gebruik van phishing-e-mails met overeenkomstgerelateerde lokmiddelen om een RAR-archiefbestand te verspreiden dat een legitiem uitvoerbaar bestand en een kwaadaardig DLL-bestand bevat. De DLL wordt vervolgens uitgevoerd door middel van de eerste met behulp van DLL-sideloadingtechnieken.
In de volgende fase zorgt de bibliotheek voor het ophalen en uitvoeren van DSDownloader, dat op zijn beurt een decoy-bestand opent als afleiding terwijl het stiekem de next-stage malware downloadt van een externe server. FACCT zei dat de payload niet langer beschikbaar was om te downloaden op het moment van analyse.
Het begin van de Russisch-Oekraïense oorlog in februari 2022 heeft geleid tot een aanzienlijke escalatie van cyberaanvallen aan beide kanten. Russische bedrijven werden de afgelopen maanden gecompromitteerd door DarkWatchman RAT en door activiteitsclusters als Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits en Sticky Werewolf.
Bovendien hebben pro-Oekraïense hacktivistengroepen zoals Cyber.Anarchy.Squad ook hun pijlen gericht op Russische entiteiten en voeren hack- en lekoperaties en verstorende aanvallen uit op Infotel en Avanpost.
Deze ontwikkeling komt nadat het Computer Emergency Response Team van Oekraïne (CERT-UA) waarschuwde voor een piek in phishingaanvallen uitgevoerd door een Wit-Russische dreigingsactor met de naam UAC-0057 (ook bekend als GhostWriter en UNC1151). Deze kwaadaardige malware verspreidt een familie genaamd PicassoLoader met als doel een Cobalt Strike Beacon op geïnfecteerde hosts te plaatsen.
Het volgt ook op de ontdekking van een nieuwe campagne van de Turla-groep met banden met Rusland. Deze groep gebruikt een schadelijk Windows-snelkoppelingsbestand (LNK) als kanaal om een bestandsloze backdoor te creëren die PowerShell-scripts kan uitvoeren die afkomstig zijn van een legitieme, maar gecompromitteerde server, en beveiligingsfuncties kan uitschakelen.
“Het maakt ook gebruik van geheugenpatching, omzeilt AMSI en schakelt de gebeurtenisregistratiefuncties van het systeem uit om de verdediging van het systeem te ondermijnen en zo de ontwijkingsmogelijkheden te verbeteren,” aldus onderzoekers van G DATA. “Het maakt gebruik van Microsoft’s msbuild.exe om AWL (Application Whitelist) Bypass te implementeren om detectie te voorkomen.”
