Обнаружены атаки группы XDSpy с использованием нового загрузчика XDSpy.DSDownloader

Специалисты F.A.C.C.T. Threat Intelligence зафиксировали в июле 2024 новые атаки кибершпионской группировки XDSpy, направленные на российские компании. Так, например, XDSpy рассылает фишинговые электронные письма, содержащие ссылку на загрузку RAR-архива, в котором находятся легитимный исполняемый файл с расширением .exe и вредоносная динамически подключаемая библиотека msi.dll. Для запуска данной библиотеки злоумышленники используют технику DLL Side-Loading. Вредоносная динамически подключаемая библиотека представляет собой загрузчик, отвечающий за загрузку и запуск файла полезной нагрузки, классифицируемый нами как XDSpy.DSDownloader. На момент исследования файл полезной нагрузки был недоступен.

В рамках данной вредоносной кампании XDSpy была атакована российская ИТ-компания, являющаяся разработчиком ПО для контрольно-кассовых машин. Еще одной вероятной целью атаки могла быть некоторая организация из Молдовы (г. Тирасполь, Приднестровье), т.к. один из обнаруженных нами RAR-архивов был загружен на VirusTotal из данной локации.

Злоумышленники использовали спуфинг реального адреса отправителя фишингового письма. Пример письма:

Тема письма: "Доступ к документам"

Отправитель: Елена Проваторова <E.Provatorova@a24[.]ru> - Автоклуб "А24" (реальный отправитель 65[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]65])

Ссылка в теле письма:

26 июля было отправлено второе письмо в эту же организацию.

Тема: "Договоренности, по поручению начальника"

Отправитель: Ева Полетаева <himinfo@agbis[.]ru> - ООО "Компания АГБИС" (реальный отправитель 48[.]69[.]114[.]89[.]rev[.]vodafone[.]pt ([89[.]114[.]69[.]48])

Пример фишингового письма:

Ссылка в теле письма:

На основании предыдущих атак группировки XDSpy, в рамках данной вредоносной