Uzmanların tespitlerine nazaran XDSpy uygulayıcıları, gayeli kimlik avı e-postaları kullanarak bilgi sızdırmaya odaklanıyorlar. E-postalar ise küçük farklılıklar gösteriyor. Kimileri ziyanlı bir belgeye irtibat içerirken, öbürleri ise ek içeriyor. Ziyanlı belge yahut ekin birinci katmanı, ekseriyetle bir ZIP yahut RAR belgesi oluyor. Haziran 2020’de uygulayıcılar, Internet Explorer’ın bir açığını (Nisan 2020’de yamalanan CVE-2020-0968) kullanarak oyunlarını bir üst noktaya taşıdılar.
Ziyanlı yazılımı tahlil eden ESET araştırmacısı Mathieu Faou, grubun devam eden gayeli kimlik avı operasyonlarında 2020’de en az iki defa COVİD-19 konusunu kullandığını belirtti.
Daha evvel bilinmeyen bir siber hırsızlık kümesi
Mathieu Faou, öteki ziyanlı yazılımlarla kod benzerliği bulunmaması ve şebeke altyapısında çakışmalar gözlemlememeleri nedeniyle XDSpy‘ın daha evvelce ortaya çıkmamış bir küme olduğu sonucuna vardıklarını belirtti.
Doğu Avrupa ve Balkan ülkeleri gayede
XDSpy kümesinin etkinliklerinden Sırbistan, Belarus, Moldova, Ukrayna ve Rusya üzere ülkelerin kamu kurumları ve özel şirketleri etkilenmiş görünüyor.
APT kümesi nedir?
Advanced Persistent Threat (APT), Gelişmiş Kalıcı Tehdit kümelerini tanımlıyor. Hayli organize çalışan bu cins siber hırsızlık yahut casusluk kümeleri, çeşitli taktiklerle sistemlere erişmeye odaklanır. Eriştikten sonra da ziyanlı yazılımlarını sistemlerde saklayarak, hedeflediklerini sonuca ulaşıncaya kadar beklerler. Sızdıkları sistemlerde, daima erişim elde etmek, APT kümelerinin temel motivasyonlarından biridir. Sistem sahibinin rastgele bir sorun farketmemesi için de hareketlerini vakte yayarlar.
Hürriyet