Xakep #305. Многошаговые SQL-инъекции
На этой неделе специалисты компании FACCT обнаружили фишинговую рассылку, проводимую кибершпионской группой XDSpy. Атака была нацелена на российские организации, включая один из известных научно-исследовательских институтов. В тексте письма, подписанного Министерством по чрезвычайным ситуациям, получателей просили посмотреть список сотрудников компании, которые «могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России».
Отправители письма угрожали, что в случае отсутствия ответа, против сотрудников будут приняты юридические меры.
Под видом файла-приманки Spisok_rabotnikov.pdf (со списком врачей одной из клиник Ростова-на-Дону) загружалась малварь Spisok_rabotnikov.zip, которая собирала данные и документы с компьютера жертвы. Более детальный технический анализ можно найти в блоге FACCT на «Хабре».
XDSpy пользовалась подобными техниками и раньше: в середине марта хакеры атаковали структуры МИДа России, а в октябре 2022 года — российские организации с фейковыми повестками от имени Минобороны.
Специалисты FACCT пишут, что XDSpy — одна из самых таинственных и малоизученных кибершпионских групп. Впервые в ее обнаружил белорусский CERT в 2020 году, хотя считается, что сама группа активна как минимум с 2011 года.
Большинство целей XDSpy находятся в России — это правительственные, военные, финансовые учреждения, а также энергетические, исследовательские и добывающие компании. Хотя XDSpy с завидной регулярностью попадает в поле зрения международных специалистов, пока неясно, в интересах какой страны работает эта хак-группа.