История со взломом Tyler Technologies, одного из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, оператором ransomware RansomExx, о которой стало известно на прошлой неделе, получает неожиданное продолжение.

Оказалось, что мы были правы, когда писали про то, что такие компании как Tyler могут стать целью атак на цепочку поставок. Только мы имели в виду атаки, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы. А в данном случае, как стало известно в выходные, атаку на цепочку поставок провела именно стоящая за вымогателем хакерская группа.

Клиенты Tyler Technologies стали сообщать, что в их сетях появились подозрительные учетные записи, а также установленное третьими лицами ПО удаленного доступа (например, BeyondTrust). После этого, сети некоторых клиентов были атакованы ransomware.

Представители Tyler Technologies в выходные признали, что их взломанные ресурсы могли стать отправной точкой для дальнейшей атаки на сети их партнеров - "мы настоятельно рекомендуем сбросить учетные записи удаленного доступа сотрудников Tyler".

На нашей памяти это первая атака операторов ransomware на цепочку поставок. Очередной ящик Пандоры оказался открыт. Впрочем, этого следовало ожидать.

И еще одна интересная деталь, политическая. По данным Reuters, производимое Tyler ПО планируется использовать на предстоящих президентских выборах в США для передачи результатов голосования с участков в избирательные комиссии. Как быстро появится версия о причастности России к взлому Tyler Technologies?

Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.

Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.

В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.

По всей видимости, пакистанцы решили потроллить своих индийских визави.

#APT #TransparentTribe

​​И снова больницы.

Сеть американской компании Universal Health Services (UHS), которая является одним из крупнейших поставщиков медицинских услуг в США, в в ночь с субботы на воскресенье подверглась атаке ransomware. Всего под управлением компании более 400 больниц в США и Великобритании.

С утра 27 октября часть больниц UHS работает без компьютерной поддержки. Прекращены лабораторные исследования, пациенты перенаправляются в другие медицинские учреждения.

Как пишут пользователи Reddit, в некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.

В соцсетях пишут, что за атакой стоит ransomware Ryuk. Это достаточно старый штамм, который был впервые замечен еще в 2018 году. Более того, в последние месяцы он был не активен и считалось, что Ryuk исдох и на сцену вышел его преемник - Conti. Однако, здравствуйте.

Кстати, операторам Ryuk приписывают произошедшую в декабре 2019 года атаку на больницу в чешском городе Бенешове.

Изначально Ryuk приписывали северокорейской APT Lazarus. Но затем некоторые инфосек компании стали связывать его с российскими коммерческими хакерскими группами, в частности с Wizard Spider (оператор банковского трояна TrickBot).

Более того, в последнее время в западном инфосек появилось несколько материалов о "связи российских коммерческих хакерских групп и северокорейских кибертеррористов". Так что при желании атаку на UHS можно использовать в качестве основания для очередных санкций против России.

И не можем не вспомнить воззвание Микко Хиппонена, главного исследователя F-Secure, обращенное к операторам ransomware:

"Отъе*итесь от медицинских организаций. Если вы начнете атаковать больничные сети в период пандемии, то мы используем все наши ресурсы, чтобы найти вас".

Похоже, что не подействовало.

Вам не кажется, что в новостной ленте стало слишком много ransomware? Нам, например, кажется, но ничего поделать мы не можем, это срез сегодняшней ситуации в инфосек.

ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского судоходного гиганта CMA CGM тему вымогателей в отрасли морского судоходства можно закрывать. Поскольку это была последняя (один из наших редакторов настаивает на формулировке "крайняя", но мы его не слушаем, он три раза из самолета катапультировался, причем "крайний" раз неудачно) из четырех ведущих мировых судоходных компаний, ставшая жертвой ransomware.

В июне 2017 A.P. Moller-Maersk словил NotPetya.
В июле 2018 оператор ransomware успешно атаковал COSCO.
В апреле этого года неназванный вымогатель остановил ЦОДы Mediterranean Shipping Company.

И вот вчера CMA CGM в результате атаки Ragnar Locker отключили часть своих сервисов, в том числе систему бронирования контейнеров.

А Ragnar Locker - это друзья и партнеры по "картелю" русскоязычного владельца Maze, с которым они даже поделились техникой развертывания вымогателя в виртуальной машине, что помогает скрыть его активность по шифрованию файлов от антивирусных систем. А еще Ragnar Locker успешно зарансомили европейского энергетического гиганта Energias de Portugal, но мы про это не раз уже писали.

Такая вот драма. Шекспир и племянники (с)

Forbes просмотрели отчет о новой экономике в даркнете команды Armor TRU и раскопали информацию про хакерский университет HackTown, предлагающий в даркнете курсы по киберпреступности.

Изначально HackTown предлагает несколько бесплатных базовых курсов, но за плату в размере 125 долларов дает доступ к широкому набору "лекций", посвященных разным аспектам киберпреступной деятельности - как взламывать Wi-Fi, как развернуть RAT, как вывести украденные деньги, как брутфорсить, как организовать атаку MITM и пр. Причем курсы, согласно описанию HackTown, рассчитаны на людей, слабо разбирающихся в современных ИТ-технологиях. Эдакий "Хакинг для чайников".

Мы, значит, людей по CISSP сертифицируем, а мамкины хакеры в HackTown бегут. Хотя, скорее всего, это тупо разводка на деньги. Лох не мамонт даже в даркнете.

​​Мы кое-что очень интересное нашли.

Если помните - мы писали отдельный обзор, посвященный американской APT Equation, которая фактически является подразделением в составе Управления по компьютерным сетевым операциям (CNO) АНБ.

Еще тогда мы упоминали, что, судя по косвенным данным, Equation либо принимали непосредственное участие, либо оказывали техническую поддержку израильским спецслужбам в проведении операции Stuxnet против иранских центрифуг по обогащению урана. Этими данными было найденное Касперскими сходство между Stuxnet и принадлежащим американским хакерам вредоносом Fanny, а также утверждение хакеров из Shadow Brokers, сливших в сеть в 2016-2017 годах кучу внутренней информации Equation, в том числе пресловутые эксплойт EternalBlue и бэкдор DoublePulsar, использовавшиеся потом в WannaCry.

И вот аргентинский исследователь Факундо Муньос поподробнее изучил данные Сноудена, информацию Shadow Brokers, а также материалы расследования Касперских в отношении Equation, и сделал интересные выводы.

В двух частях своего исследования (раз и два) ресерчер показывает, что примерно в 2008-2009 годах Equation разработала два эксплойта, которые в дальнейшем были переданы разработчикам Stuxnet для усиления его возможности по распространению в атакованных сетях.

Шах и мат, аметисты! Все тайное рано или поздно становится явным.

Новостей про ransomware появляется так много, что приходится писать только про самые-самые. Например, про атаку на американскую страховую компанию Arthur J. Gallagher мы писать не будем, хотя у нее дохода под 7 млрд. долларов.

Мы напишем про всем известную швейцарскую часовую компанию Swatch Group. А если она кому-то неизвестна, то скажем, что кроме собственно марки Swatch швейцарцам принадлежит большинство известных у нас швейцарских же часовых брендов - Breguet, Omega, Longines, Blancpain, Tissot, Rado и другие. Выручка в 2019 году - почти 10 млрд. долларов (чуть меньше чем бюджет Молдавии).

В выходные Swatch Group обнаружили атаку на их ресурсы и были вынуждены отключить часть своих ИТ-систем для предотвращения ее развития.

Естественно, что такое отключение "повлияло на некоторые операции", как говорят представители Swatch.

С почти 100%-й вероятностью можно утверждать, что это атака ransomware. Какого конкретно, полагаем, станет известно в ближайшее время, поскольку Swatch заявили о своем намерении подать заявление в правоохранительные органы.

А между тем это уже пятая компания-миллиардер, которая была успешно атакована вымогателями за неделю. Кажется, владельцы ransomware полетят на Марс раньше Маска.

Напутали в прошлом посте. С учетом атаки ransomware Ragnar Locker на судоходного гиганта CMA CGM, Swatch - это не пятая, а шестая компания-миллиардер, атакованная вымогателями за неделю.

ESET анонсировали выступление на онлайн конференции VB2020 localhost, в котором обещают подробно рассказать про выявленный весной этого года вредонос Ramsay, предназначенный для атак на физически изолированные сети.

Мы писали про Ramsay в мае. Судя по данным, представленным тогда ESET, этот любопытный вредонос принадлежит APT DarkSeoul, предположительно работающей на южнокорейские спецслужбы. Сейчас обещают дать более широкую информацию по этому поводу.

Если у вас есть возможность - посмотрите обязательно. Ведь что может быть красивее и сложнее атак на air-gapped сети.

​​Как страшно жыть!

ESET сегодня выпустили отчет о новом вредоносном ПО для Android, которое использует APT-C-23 aka Two-tailed Scorpion (она же Desert Falcons, она же Arid Viper). Словаки назвали его SpyC23.A.

Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).

Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.

SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.

Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.

Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.

Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.

Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.

И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.

#APT #APTC23 #DesertFalcons

​​Британские исследователи из ClearSky нашли любопытную фишинговую приманку.

Ресерчеры обнаружили загруженный из Белоруссии на VT файл "СВЕДЕНИЯ О ПОДСУДИМОМ.rtf", содержащий дроппер, который впервые в дикой природе эксплуатирует CVE-2020-0968 в Internet Explorer.

Дальше начинаются странности. Во-первых, в качестве дефолтных языков в файле установлены Русский и Арабский (Саудовская Аравия). Во-вторых, британцы нашли подробный анализ подобного файла на китайском языке, который назван Операция Домино (не ищите, в сети на английском ничего подобного нет).

Но все-таки похоже на то, что спалили "белорусских Кибер Партизан", а скорее стоящую за ними западную спецслужбу. Тогда понятен интерес китайских исследователей к этой кибероперации.

Потому что вряд ли белорусские власти пытаются подманить оппозиционеров пустым шаблоном со сведениями о подсудимом в качестве приманки. А вот для неосторожных сотрудников органов такой фишинг - в самый раз.

А может это все наши фантазии.

Мы ошиблись, когда говорили, что слив исходников Windows XP похоже скомпилирован из старых утечек. В свое оправдание можем сказать, что свое мнение мы выразили в самом начале, когда еще не смогли посмотреть все материалы полностью.

И оказалось, что исходники, хотя и неполные, но все-таки подлинные.

Пользователь Youtube с псевдонимом NTDEV решил скомпилировать утекший код, чтобы проверить его подлинность. Согласно его видео, на днях он успешно скомпилировал из слитых исходников и Windows XP, и Windows Server 2003.

И, хотя отсутствовали некоторые компоненты, такие как Winlogon и различные драйверы, ядро и проводник получилось скомпилировать. Более того, NTDEV создал работоспособную установку Windows Server 2003, для чего ему пришлось кое-что заменить, например, Winlogon.

Как и ожидалось, Microsoft заявила Google о нарушении своих авторских прав и ролик заблокировали на Youtube, поэтому в настоящее время он недоступен.

Ну а с точки зрения инфосек вполне можно ожидать открытий вшитых в Windows XP бэкдоров, если, конечно, они там есть и если кто-то заморочится по поводу их поиска.

​​Три недели назад мы написали первую часть обзора про северокорейскую APT Kimsuky (мы обязательно его допишем в скором времени, обещаем).

Вчера ZDNet опубликовали материал, в котором со ссылкой на отчет ООН сообщили, что в марте-апреле этого года Kimsuky развернули фишинговую кампанию, нацеленную на Gmail-аккаунты сотрудников Совбеза ООН.

Приманки были замаскированы под предупреждения системы безопасности ООН или обращения от журналистов о проведении интервью. Целью фишинга были кража учетных данных жертвы, а также доставка вредоносов (собственно, а что еще?).

Представители ООН сообщили, что получили данные об атаке от одной из стран, которая ранее выявила похожие атаки на свое правительство. Скорее всего - Южная Корея.

Как говорит DPRKCERT - Supreme Leader is knows cyber!

Те, кто давно читает наш канал, знают, что мы неравнодушны к атакам на промышленные системы управления (ICS), потому что представляем себе к каким катастрофическим последствиям они могут привести.

Соответственно, и к вопросам информационной безопасности ICS у нас трепетное отношение. А вот тут часто возникают серьезные проблемы, которые обусловлены спецификой отрасли применения.

Израильская компания OTORIO, специализирующаяся как раз на вопросах инфосек в этой сфере жизнедеятельности, нашла несколько серьезных уязвимостей в двух популярных промышленных решениях удаленного доступа - SiteManager (GateManager) от B&R Automation и mbCONNECT24 от MB Connect Live.

Оба инструмента активно используются в автомобильной, энергетической, нефтегазовой, металлургической и других отраслях народного хозяйства.

В решении от B&R Automation, позволяющем получать удаленный доступ к промышленному оборудованию, израильтяне нашли целых шесть уязвимостей (c CVE-2020-11641 по CVE-2020-11646). Их использование из-под авторизованного пользователя позволит хакеру получить доступ к конфиденциальной информации других пользователей, а также вызвать отказ в обслуживании, что может привести к остановке производственного процесса. С учетом невысокого уровня информационной безопасности в промышленности в целом, полагаем, что добыть учетные данные пользователя для злоумышленника является вполне решаемой задачей.

Три уязвимости (CVE-2020-24568 - CVE-2020-24570) найдены исследователями в mbCONNECT24, который также используется для удаленного подключения к производственным объектам. Ошибки позволяют хакеру осуществить SQL-инъекцию и CSRF-атаку. Еще одна уязвимость, которой не присвоено CVE и про которую не пишут ресерчеры OTORIO, но про которую упомянуло CISA, получила 9.8 из 10 по шкале критичности и позволяет злоумышленнику удаленно выполнить код.

Несомненно, с таким количеством уязвимостей в ICS их владельцам необходимо регулярно проводить аудит ИБ, в том числе пентесты. Иначе в кране может кончиться вода и причиной этому будут совсем не соотечественники израильских исследователей.

Английская команда Pen Test Partners опубликовала сегодня описание уязвимости CVE-2020-5980 в утилите командной строки NVIDIA SMI, которая поставляется в комплекте с драйверами NVIDIA и установлена на большинстве компьютеров с видеокартами производителя.

Уязвимость заключается в неправильном поиске подключаемых библиотек DLL и позволяет, соответственно, провести т.н. подмену DLL (DLL hijacking), что, в свою очередь, может привести к удаленному выполнению кода (RCE) хакером в атакованной системе.

Ошибка была выявлена исследователями в июле, а вчера NVIDIA выпустили обновление безопасности, в котором CVE-2020-5980 устранена. Кроме этой уязвимости устранен также ряд других ошибок, в том числе высокой степени критичности, которые могут привести к RCE, отказу в обслуживании, повышению привилегий, а также раскрытию информации.

Поскольку видеокартами от NVIDIA оснащено подавляющее большинство ПК, то рекомендуем всем обратить на это внимание и немедленно обновиться.

Вчера Токийская фондовая биржа, крупнейшая биржа на японском фондовом рынке, третьем по величине в мире, упала.

Торги были приостановлены на целый день и обещалось, что они будут запущены сегодня (судя по последним новостям, таки торги возобновили).

Это достаточно серьезное событие на фондовом рынке, которое вызвало даже реакцию Главного секретаря японского правительства, выразившего "крайнюю степень прискорбия". Более того, Bloomberg называет сбой биржи "последним ударом по мечтам Токийского финансового центра".

В качестве причины закрытия торгов указывается, внимание, проблема при переключении на резервную копию данных после отказа оборудования.

И хотя представители биржи утверждают, что нет указаний на то, что технические проблемы были связаны со взломом, доверять им на 100% нет никаких оснований, потому что японцы вообще мало что признают. Вон, Курильские острова до сих пор не признали.

А вот неожиданное "переключение на резервную копию данных после отказа оборудования" очень сильно напоминает меры реагирования на атаку ransomware.

В любом случае будем ожидать новостей. Хотя если японцы оперативно заплатили выкуп, то мы можем правды так и не узнать.

Но если подтвердится атака ransomware, то это будет первый в истории случай, когда вымогатели могли подорвать четвертую в мире экономику.

К сожалению, организаторы конференции VB2020 пока не выкладывают материалы уже сделанных выступлений, в силу чего мы не можем подготовить обзоры заинтересовавших нас презентаций. А там есть что посмотреть и послушать - доклад Malwarebytes о китайской APT Evasive Panda, отчет Check Point о хакерских мероприятиях египетских органов по установлению контроля над внутренней оппозицией, исследование Trend Micro TTP's китайской APT Tonto Team aka Karma Panda и многое другое.

Но журналисты некоторые из материалов добывают. Вчера ZDNet рассмотрели выступление представителей Facebook, посвященное атаке гонконгской хакерской группы SilentFade на пользователей соцсети в 2018-2019 годах.

Как следует из материалов Facebook, хакеры в 2016 году разработали вредонос SuperCPA, ориентированный, в первую очередь, на китайских пользователей. ПО предназначалось для мошенничества с кликами.

Однако уже в 2017 году злоумышленники разработали новый вредонос SilentFade, который предназначался для кражи из браузеров учетных данных пользователей Facebook и Twitter.

Следующая версия SilentFade, фактически являющаяся RAT, появилась в 2018. Вредонос позволяя брать браузер жертвы под полный контроль. Далее через краденные cookie сеансов Facebook хакеры получали полный доступ к аккаунту жертвы в социальной сети.

После этого злоумышленники отключали настройки безопасности аккаунта Facebook, причем для того, чтобы законный пользователь не мог восстановить некоторые из них, хакеры использовали уязвимость в самой социальной сети. В результате при попытке вернуть первоначальные настойки жертва натыкалась на ошибку Facebook.

И, наконец, получив таким образом контроль над учетной записью легального пользователя хакеры начинали размещать за счет жертвы вредоносную рекламу. Всего за несколько месяцев SilentFade нагрели пользователей Facebook на 4 млн. долларов.

FB возместили все убытки своим подписчикам, а также отследили учетную запись GitHub, под которой хранились библиотеки SilentFade. Следы привели к гонконгской компании ILikeAd Media и двум ее основателям Чен Сяо Конгу и Хуанг Тао. Теперь Facebook плющит хакеров из Гонконга в суде.

Осталось заметить, что Facebook называет господ Конга и Тао китайскими хакерами. Как протесты - так не Китай, а как хакеры - так Китай. Товарищу Си, наверное, обидно.

В начале недели аналитик IBM X-Force Камилль Синглтон написала в своем блоге большой пост о трендах в развитии ransomware в 2020 году. Вот несколько тезисов.

На сентябрь 2020 года каждая четвертая атака, которой занимались IBM X-Force была связана с вымогателями. Своеобразный "взрыв" произошел в июне, когда всего за месяц количество атак ransomware увеличилось в 2 раза. Правда в июле показатели вернулись в норму.

Размер выкупа растет дикими темпами. В некоторых зафиксированных случаях он превышал 40 млн. долларов (!)

Основные цели - компании-производители (почти 25%), сектор услуг (17%) и государственные организации (13%). По поводу последних у нас есть соображение, что у них особо нет денег, но зато ломать намного проще.

Больше всего страдают Северная Америка (33% атак) и Азия (30%). На Европу приходится 27% атак вымогателей.

С помощью Sodinokibi (REvil) было проведено 29% атак ransomware, которые IBM X-Force зафиксировали в этом году. Это самый популярный вымогатель. На втором месте Maze c 12%, на третьем - Snake aka Ekans (6%).

А вот теперь действительно нужные данные. IBM X-Force говорят, что за время своего существования с апреля 2019 года с помощью Sodinokibi были успешно атакованы как минимум 140 организаций, и, что самое главное, более 36% жертв заплатили выкуп. Прибыль владельца Sodinokibi, работающего по схеме RaaS, в 2020 году составит не менее 81 миллиона долларов (мы уверены, что существенно больше, потому что IBM видит далеко не все атаки). Теперь понятно, почему REvil спокойно внесли на депозит на одном из хакерских форумов 1 млн. долларов в BTC.

Кстати, исследователи обнаружили, что одним из партнеров REvil является известная коммерческая российская группа Carbanak aka FIN7.

И еще одно, что бросилось в глаза, - большое количество атак ransomware Snake, которое ориентировано, в числе прочих, на промышленные системы управления (ICS). Таким образом, этот вымогатель вполне может прервать технологический процесс на каком-нибудь заводе по переработке нефти, после чего может случиться локальный Бхопал.

И еще один материал с конференции VB2020 с подачи ZDNet.

ESET сделали доклад, в котором сообщили, что обнаружили прогосударственную APT, которая работала незамеченной на протяжении девяти лет. Словаки назвали ее XDSpy. Профиль - кибершпионаж.

Основными целями XDSpy были государственные учреждения и частные компании России, Белоруссии, Украины, Молдовы и Сербии.

Хакеры использовали набор авторских вредоносов, который получил название XDDown. В него входят дроппер и куча модулей, каждый из которых выполняет свой небольшой функционал. Это, вероятно, помогало обходить антивирусную защиту. Исследователи ESET охарактеризовали вредоносы XDSpy как не самые продвинутые, но их возможностей вполне хватало для выполнения стоящих перед хакерами задач.

Подмеченной словаками особенностью XDDown оказался примат скрытности перед долгосрочным присутствием в скомпрометированной сети. Для этого вредоносы обладали такими функциями как самоудаление по определенному времени, а также отсутствие у многих модулей механизма сохранения после перезагрузки. ESET полагает, что отчасти благодаря такой заточенности вредоносов XDSpy удалось долго оставаться незамеченной.

Впервые киберкампания XDSpy была замечена белорусским CERT в феврале этого года, после чего APT полностью прекратила использование XDDown и ушла в тень. А ESET, соответственно, именно с этого момента начали свое расследование.

Судя по профилю деятельности, XDSpy работает под патронажем одной из спецслужб разведсообщества Five Eyes. По крайней мере, метод работы "тiкай з городу" при первом же обнаружении хакерской деятельности очень похож на поведение APT Equation.

Спасибо большое подписчику, который прислал нам ссылку на материалы выступлений VB2020, сами мы что-то затупили.

Но, к сожалению, далеко не все выступления там представлены в полном виде, от некоторых только слайды презентации. Тем не менее, постараемся разобрать наиболее интересные с нашей точки зрения материалы.