Кибершпионы XDSpy атакуют российские организации под видом борьбы с “пятой колонной”

Эксперты центра кибербезопасности F.A.C.C.T. выявили новую кампанию кибершпионской группировки XDSpy, которая направлена на российские организации разных отраслей, в том числе на один из ведущих научно-исследовательских институтов. В фишинговых письмах получателей просят посмотреть список сотрудников компании, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России". Отправители письма угрожают принятием юридических мер в отношении сотрудников в случае отсутствия ответа.

При открытии файла Spisok_rabotnikov.pdf, который якобы содержал список подозрительных сотрудников, на компьютер жертвы устанавливалось вредоносное ПО, которое крадет и отправляет на сервера злоумышленников конфиденциальные данные и документы. XDSpy уже использовала подобные методы ранее: в середине марта они атаковали структуры Министерства иностранных дел России, а в октябре 2022 года — российские организации, отправляя фейковые повестки от имени Министерства обороны.

Впервые группу XDSpy, атакующую организации России и Беларуси, обнаружил белорусский CERT в феврале 2020 года. Однако эксперты полагают, что данная группа активна уже как минимум с 2011 года. Несмотря на длительную историю деятельности XDSpy, международные специалисты так и не смогли однозначно определить, в интересах какой страны она работает. Большинство целей группы находятся в России и включают правительственные, военные, финансовые, энергетические, исследовательские и добывающие учреждения и компании.