به گزارش کارگروه بینالملل سایبربان؛ کارشناسان شرکت امنیت اطلاعات ایست (ESET) یک گروه هکری به نام اکسدیاسپای (XDSpy) شناسایی کردند که از سال 2011 تاکنون اقدام به سرقت اطلاعات محرمانه دولتها و شرکتهای اروپای شرقی و شبهجزیره بالکان کرده است.
اکسدیاسپای بیش از 9 سال ناشناس بوده و زمانی که گروه واکنش به رخدادهای رایانهای بلاروس در فوریه 2020 نسبت به حملات آن هشدار میدهند، شناسایی میشود.
این گروه عموماً نهادهای دولتی، سازمانهای نظامی، وزارت کشور، شرکتهای خصوصی واقع در اروپای شرقی و بالکان را هدف قرار میدهد. کارشناسان فقط برخی از حملات فیشینگ هدفمند این گروه را که در آنها از پیوستهای مخرب و لینک فایلهای مخرب استفادهشده، شناسایی کردهاند.
زمانی که قربانیان به لینکهای مخرب این گروه مراجعه کردهاند، بدافزاری به نام XDDown نصب شده که بهنوبه خود اقدام به بارگیری ماژولهای مخرب XDRecon ،XDList ،XDMonitor و XDUpload کرده است.
ماژول XDRecon اطلاعاتی در مورد سیستم هدف جمعآوری کرده، XDList و XDMonitor اسناد مهم را سرقت کرده و اسکرین شات گرفتهاند، XDUpload نیز اطلاعات فایل سیستم را استخراج کرده و به سرور کنترل ارسال کرده است.
این گروه از اواخر ماه ژوئن 2020 از اکسپلویتهای آسیبپذیری «CVE-2020-0968» موتورهای قدیمی جاواسکریپت در مرورگر اینترنت اکسپلورر نیز بهرهبرداری کرده است.
بنا برگزارش ایست، اکسپلویتی که اکسدیاسپای در حملات خود استفاده کرده با ابزارهای که در کمپینهای گروههای هکری DarkHotel و Operation Domino مورداستفاده قرارگرفتهاند، خصوصیات یکسانی داشته، اگرچه ایست به ارتباط میان این سه گروه پی نبرده است.
