XDSpy는 ESET 연구원이 최소 2011년부터 활동한 것으로 밝혀낸 APT 조직이다. ESET은 최근 이 조직이 벨로루시, 러시아, 세르비아 및 우크라이나의 정부, 군사 및 외무부를 대상으로 한다는 사실을 발견했다.

ESET 보안 전문가 Matthieu Faou와 Francis Labelle은 Virus Bulletin 2020에서 연설을 통해 조직의 공격을 공개했다. 이들의 연구에 따르면 XDSpy 조직은 적어도 2011년 이후로 활동했으며 이들의 TTPs는 거의 변하지 않았다. 연구원들은 이 조직이 더 많은 다른 국가를 공격했을 수 있다고 경고했다.

한편 2020년 2월 벨로루시 CERT는 XDSpy 배후의 스피어 피싱 공격에 대한 내용을 발표한 바 있으며 그 내용은 벨로루시의 여러 부처 및 기관을 대상으로 했다는 것이었다.

XDSpy가 사용한 도구들은 매우 효과적으로 보이지만 실제로는 주로 XDDown이라는 Downloader를 사용한 것으로, 간단하다고 볼 수 있다. XDSpy의 악성코드는 모바일 장치 모니터링, 스크린샷, 비밀 문서 도용, WiFi 액세스 포인트 정보 수집 등 다양한 기능을 지원한다.

뿐만 아니라 이 조직은 NirSoft를 사용하여 웹 브라우저 및 이메일 클라이언트에서 비밀번호를 탈취할 뿐만 아니라 Internet Explorer 취약점 CVE-2020-0968을 악용한다.

[출처 : ESET / 10.6.]