[图]ESET发现黑客组织XDSpy：已隐秘运行9年多时间

阿里云推出高校特惠专场：0元体验入门云计算 快速部署创业项目

在 Virus Bulletin 2020 安全会议的演讲中，ESET 研究人员首次详细介绍了该小组的运作。ESET表示，该组织的主要重点是侦察和文件盗窃。它的目标是东欧和巴尔干地区的政府机构和私人公司。根据ESET遥测数据，目标国家包括白俄罗斯，摩尔多瓦，俄罗斯，塞尔维亚和乌克兰，但其他 XDSpy 操作可能仍未被发现。

ESET 表示，在 CERT 白俄罗斯小组发出的安全警报中检测到并详细描述了其中一个活动之后，该组织快速取消了这种活动的运营。ESET 表示，使用此安全警报作为初步线索，它能够发现过去的 XDSpy操作。两位负责对 XDSpy 进行调查的 ESET 安全研究人员 Matthieu Faou 和 Francis Labelle 说，该组织的主要工具是一个名为 XDDown 的恶意软件工具箱。

Faou 表示这款恶意软件工具箱虽然不是最先进的，但是足以感染受害者并帮助该组织从受感染目标中收集敏感数据。ESET 将 XDDown 描述为“下载器”，用于感染受害者，然后下载执行各种专门任务的辅助模块。

这阻止了安全工具将XDDown本身检测为恶意软件，但也允许该恶意软件具有一些非常高级的功能。XDDown模块包括：

XDREcon-一个模块，用于扫描受感染的主机，收集技术规格和操作系统详细信息，并将数据发送回XDDown / XDSpy命令和控制服务器。

XDList-一个模块，用于在受感染的计算机中搜索具有特定文件扩展名的文件（与Office相关的文件，PDF和地址簿）。

XDMonitor-一个模块，用于监视将哪种设备连接到受感染的主机。

XDUpload-接收由XDList标识的文件并将其上传到XDXpy服务器的模块。

XDLoc-收集有关附近WiFi网络的信息的模块，据信该信息已被用来使用公共WiFi网络的地图跟踪受害者的活动。

XDPass-从本地安装的浏览器提取密码的模块。