Компании в России и Молдове стали объектом фишинговой кампании, организованной малоизвестной группой кибершпионажа, известной как XDSpy.
Результаты получены от компании по кибербезопасности F.A.C.C.T., которая заявила, что цепочки заражения приводят к развертыванию вредоносного ПО под названием DSDownloader. Активность была отмечена в этом месяце, добавили в компании, пишет therecord.media
XDSpy считается контролируемой государством группой угроз, действующей с 2011 года, которая в основном атакует страны Восточной Европы и Балкан. Несмотря на долгую историю группы, исследователям не удалось определить страну, поддерживающую ее.
Большинство целей XDSpy связаны с военной, финансовой, энергетической, исследовательской и горнодобывающей отраслями в России, согласно F.A.C.C.T.
Ранее в декабре группа атаковала российское металлургическое предприятие и научно-исследовательский институт, занимающийся разработкой и производством управляемого ракетного оружия. В ходе атаки в июле прошлого года хакеры отправили фишинговые письма с вредоносными вложениями в формате PDF в неназванный, но «хорошо известный» научно-исследовательский институт.
XDSpy не использует особенно сложный набор инструментов, но «у них очень приличная операционная безопасность», — рассказали исследователи из компании по кибербезопасности ESET в предыдущем интервью Recorded Future News.
«Они прилагают довольно много усилий для сокрытия своих имплантов, чтобы попытаться обойти решения безопасности. «Поэтому, вполне вероятно, что у них приличный процент успеха, даже если нам удалось отследить их операции в долгосрочной перспективе», — заявили в ESET.
Какие молдавские компании подверглись атакам не уточнется.