Hacker’lar artık de gayeli kimlik avıyla bilgi çalıyorlar

Uzmanların tespitlerine nazaran XDSpy uygulayıcıları, amaçlı kimlik avı e-postaları kullanarak bilgi sızdırmaya odaklanıyorlar. E-postalar ise küçük farklılıklar gösteriyor. Kimileri ziyanlı bir belgeye temas içerirken, öbürleri ise ek içeriyor. Ziyanlı evrak yahut ekin birinci katmanı, ekseriyetle bir ZIP yahut RAR evrakı oluyor. Haziran 2020’de uygulayıcılar, Internet Explorer’ın bir açığını (Nisan 2020’de yamalanan CVE-2020-0968) kullanarak oyunlarını bir üst noktaya taşıdılar.

Ziyanlı yazılımı tahlil eden ESET araştırmacısı Mathieu Faou, grubun devam eden amaçlı kimlik avı operasyonlarında 2020’de en az iki kez COVİD-19 konusunu kullandığını belirtti.

Daha evvel bilinmeyen bir siber hırsızlık kümesi

Mathieu Faou, öbür ziyanlı yazılımlarla kod benzerliği bulunmaması ve şebeke altyapısında çakışmalar gözlemlememeleri nedeniyle XDSpy‘ın daha evvelden ortaya çıkmamış bir küme olduğu sonucuna vardıklarını belirtti.

Doğu Avrupa ve Balkan ülkeleri maksatta

XDSpy kümesinin etkinliklerinden Sırbistan, Belarus, Moldova, Ukrayna ve Rusya üzere ülkelerin kamu kurumları ve özel şirketleri etkilenmiş görünüyor.

APT kümesi nedir?

Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehdit kümelerini tanımlıyor. Hayli organize çalışan bu cins siber hırsızlık yahut casusluk kümeleri, çeşitli taktiklerle sistemlere erişmeye odaklanır. Eriştikten sonra da ziyanlı yazılımlarını sistemlerde saklayarak, hedeflediklerini sonuca ulaşıncaya kadar beklerler. Sızdıkları sistemlerde, daima erişim elde etmek, APT kümelerinin temel motivasyonlarından biridir. Sistem sahibinin rastgele bir sorun farketmemesi için de hareketlerini vakte yayarlar.