Sommario
Nel luglio 2024, gli esperti di F.A.C.C.T. Threat Intelligence hanno identificato una serie di nuovi attacchi cibernetici attribuiti alla nota gruppo di spionaggio XDSpy, rivolti principalmente a aziende russe. Utilizzando tecniche sofisticate di phishing e caricamento DLL, gli attaccanti hanno distribuito un nuovo tipo di downloader, denominato XDSpy.DSDownloader. Questo articolo fornisce un’analisi dettagliata delle modalità di attacco e delle tecniche utilizzate, oltre a suggerire misure di mitigazione.
Tecniche di Attacco
Gli attacchi di XDSpy iniziano con l’invio di email di phishing altamente mirate, contenenti link a file RAR malevoli. Questi archivi contengono un file eseguibile legittimo e una DLL malevola (msi.dll). Gli attaccanti utilizzano la tecnica DLL Side-Loading per eseguire il codice malevolo, che funge da downloader per ulteriori payloads.
Phishing e Spoofing
Gli attaccanti utilizzano indirizzi email falsificati per inviare email di phishing che sembrano provenire da fonti affidabili. Le email contengono link a RAR archivi che, una volta scaricati e aperti, innescano l’esecuzione del codice malevolo.
Dettagli Tecnici
Email di Phishing
Un esempio di email di phishing utilizzato dagli attaccanti include mittenti falsificati come “E.Provatorova@a24[.]ru” e “himinfo@agbis[.]ru”, con oggetti come “Dostup k dokumentam” (Accesso ai documenti) e “Dogovorennosti, po porucheniyu nachalnika” (Accordi, su ordine del capo). Le email contengono link a siti compromessi che ospitano i file RAR.
RAR Archivi
I RAR archivi contengono due file principali:
- Eseguibile legittimo: Un file eseguibile firmato digitalmente che sembra legittimo.
- DLL malevola: msi.dll, che viene caricata insieme all’eseguibile legittimo.
XDSpy.DSDownloader
Il file msi.dll è un loader che estrae e lancia un payload aggiuntivo. Le funzionalità principali del downloader includono:
- Estrazione di un documento esca per distrarre la vittima.
- Copia dei file malevoli nella directory pubblica dell’utente.
- Creazione di chiavi di registro per garantire la persistenza del malware.
- Download e esecuzione di ulteriori payloads da server C2.
Obiettivi e Impatto
L’obiettivo principale degli attacchi sembra essere il furto di informazioni sensibili e l’accesso non autorizzato ai sistemi aziendali. Le aziende colpite includono sviluppatori di software per macchine di controllo e altre organizzazioni strategiche. L’impatto potenziale comprende perdita di dati, interruzione dei servizi e danni reputazionali.
Mitigazioni
Per proteggersi da tali attacchi, si consiglia di:
- Implementare filtri email avanzati: Per rilevare e bloccare tentativi di phishing.
- Educare i dipendenti: Sulla consapevolezza delle minacce e le tecniche di phishing.
- Monitorare le modifiche al registro: Per individuare tentativi di persistenza del malware.
- Utilizzare soluzioni antivirus aggiornate: Per rilevare e rimuovere il malware.
Gli attacchi di XDSpy dimostrano la continua evoluzione delle minacce cibernetiche e l’importanza di mantenere misure di sicurezza robuste. Implementare le mitigazioni suggerite può aiutare le organizzazioni a proteggersi da queste sofisticate campagne di spionaggio.
