总部位于斯洛伐克的安全企业Eset本周披露了一个被命名为XDSpy的黑客集团,宣称它是个从未被记录过的持续性高端攻击(APT)组织,而且已秘密运行长达9年之久,从2011年起就开始渗透东欧与巴尔干半岛的政府组织,也有部分企业受害。
Eset的安全研究人员Mathieu Faou表示,外界很少注意到XDSpy,唯一的一次是白俄罗斯的网络危机处理暨协调中心(CERT)曾经在今年2月发出有关XDSpy的警告。
根据Eset的分析,XDSpy主要通过鱼叉式网络钓鱼邮件进行攻击,这些电子邮件有时附带恶意的ZIP或RAR文件,有时则含有恶意网站连接,也曾利用今年的新冠肺炎(COVID-19)议题发动攻击,锁定的目标包括各国政府的军事单位与外交部,也有些私人企业被黑。
除了网络钓鱼邮件之外,XDSpy在今年6月进一步开采了微软于今年4月修补的IE漏洞CVE-2020-0968来展开攻击。研究人员分析,坊间有关CVE-2020-0968的细节并不多,而且也未出现概念性验证程序,揣测其攻击程序很可能是自己研发或是对外购买的。
当黑客于受害者计算机上植入后门之后,就会下载其它的插件模块,以用来搜集系统上的基本资料,爬梳硬盘内容,监控外置设备,汲取本地端的文件,也会搜集附近的Wi-Fi热点信息与浏览器所存储的密码等。
由于研究人员并未发现与XDSpy相似的恶意程序家族或网络架构,因此认为它从未被发现或记录过。