Eset發現秘密盜取政府資料長達9年的APT駭客XDSpy

總部位於斯洛伐克的資安業者Eset本周揭露了一個被命名為XDSpy的駭客集團，宣稱它是個從未被記錄過的持續性進階攻擊（APT）組織，而且已秘密運作長達9年之久，從2011年起就開始滲透東歐與巴爾幹半島的政府組織，也有部份企業受害。

Eset的安全研究人員Mathieu Faou表示，外界很少注意到XDSpy，唯一的一次是白俄羅斯的網路危機處理暨協調中心（CERT）曾經在今年2月發出有關XDSpy的警告。

根據Eset的分析，XDSpy主要透過魚叉式網釣郵件進行攻擊，這些電子郵件有時夾帶惡意的ZIP或RAR檔案，有時則含有惡意網站連結，也曾利用今年的武漢肺炎（COVID-19）議題發動攻擊，鎖定的目標包括各國政府的軍事單位與外交部，也有些私人企業被駭。

除了網釣郵件之外，XDSpy在今年6月進一步開採了微軟於今年4月修補的IE漏洞CVE-2020-0968來展開攻擊。研究人員分析，坊間有關CVE-2020-0968的細節並不多，而且也未出現概念性驗證程式，揣測其攻擊程式很可能是自己研發或是對外購買的。

當駭客於受害者電腦上植入後門之後，就會下載其它的外掛模組，以用來蒐集系統上的基本資料，爬梳硬碟內容，監控外接裝置，汲取本地端的檔案，也會蒐集附近的Wi-Fi熱點資訊與瀏覽器所儲存的密碼等。

由於研究人員並未發現與XDSpy相似的惡意程式家族或網路架構，因此認為它從未被發現或記錄過。