WildPressure APT

مرة أخرى في عام 2019 ، فشلت حملة التهديد التي نشرت تهديدًا كاملًا لأحصنة طروادة ضد الأهداف المتعلقة بالصناعة في الشرق الأوسط في مطابقة التكتيكات والتقنيات والإجراءات الخاصة بالجهات الفاعلة في مجال التهديد القائمة بالفعل في المنطقة. ونتيجة لذلك ، نُسبت إلى مجموعة ATP (التهديد المستمر المتقدم) المنشأة حديثًا نظرًا لتسمية WildPressure.

منذ هذه العملية الأولية ، يبدو أن المتسللين بذلوا الكثير من الجهد لتوسيع وتحسين ترسانتهم من الأدوات الضارة. في الواقع ، هناك حملة جديدة تحمل علامات WildPressure تنشر الآن العديد من تهديدات البرامج الضارة التي لم يسبق لها مثيل ، أحدها قادر على اختراق أنظمة macOS. الضحايا هم مرة أخرى من الشرق الأوسط ومع تقدير مبدئي لعلاقتهم بقطاع النفط والغاز.

قامت WildPressure أيضًا بتنويع بنيتها التحتية. تألفت عملية 2019 من VPS (خوادم افتراضية خاصة) بينما تتضمن الحملة الحالية أيضًا العديد من مواقع WordPress الشرعية التي تم اختراقها. من بينها 'hxxp: // adelice-تشكيل [.] eu ،' hxxp: // ricktallis [.] com / news ، 'hxxp: // whatismyserver123456 [.] com ،' hxxp: // www. glisru [.] eu ، "و" hxxp: //www.mozh [.] org. "

وMilum طروادة

تم إسقاط تهديد طروادة الأصلي بواسطة WildPressure. إنه مكتوب بلغة C ++ ويستخدم تنسيق JSON لبيانات التكوين الخاصة به. يتم استخدام نفس التنسيق أيضًا في الاتصال بخادم الأوامر والتحكم (C2 ، C&C). التشفير الوحيد الذي لوحظ في Milum هو RC4 لكن التهديد يستخدم مفتاح 64 بايت مختلف لكل ضحية. على الجهاز المخترق ، يأخذ حصان طروادة شكل نافذة شريط أدوات غير مرئية. تتضمن قدراته التهديدية تنفيذ الأوامر المستلمة ، وتحميل البيانات إلى الخادم ، والحصول على تفاصيل الملف والنظام ، وإنشاء وتنفيذ نص برمجي دفعة يزيل Milum من النظام بالإضافة إلى تحديث نفسه إذا تم إصدار نسخة جديدة من قبل المتسللين.

طروادة الحرس

هذا التهديد من البرامج الضارة مكتوب بلغة Python ويمكن أن يصيب أنظمة Windows و macOS. يبدو أنه أثناء إنشائه ، كان قراصنة WildPressure مصدر إلهام كبير واعتمدوا على كود طرف ثالث متاح للجمهور. بشكل عام ، يشترك التهديد في الكثير من أوجه التشابه مع أدوات WildPressure الأخرى خاصة عندما يتعلق الأمر بأسلوب الترميز وتصميمه وبروتوكول الاتصال C2. يعتقد باحثو Infosec أن Guard Trojan لا يزال قيد التطوير النشط.

تتمثل إحدى الوظائف الأولى التي يتم تنشيطها على وجه التحديد على أجهزة macOS في تحديد ما إذا كان هناك مثيل آخر من Trojan لا يعمل بالفعل. آلية المثابرة مختلفة أيضًا بشكل مفهوم. على أجهزة Windows ، يقوم حصان طروادة بإنشاء مفتاح تسجيل RunOnce Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. ومع ذلك ، بالنسبة لأنظمة macOS ، يقوم Guard بفك تشفير مستند XML ثم يقوم بإنشاء ملف plist. ثم يستخدم البرنامج الضار محتويات هذا الملف على $ HOME / Library / LaunchAgents / com.apple.pyapple.plist لتشغيل نفسه تلقائيًا. يستخدم التهديد أيضًا طرقًا منفصلة للحصول على تفاصيل حول النظام اعتمادًا على نظام التشغيل. بالنسبة لإمكانياته ، يمكن توجيه تعليمات لـ Guard لتنزيل ملفات إضافية إلى النظام الذي تم اختراقه ، أو تحميل الملفات ذات الأهمية على خادم C2 ، أو تنفيذ الأوامر ، أو جلب إصدار جديد ، أو إجراء عملية تنظيف لإزالة آثاره من النظام.

وTandis طروادة

Tandis هو تهديد VBScript ذاتي فك التشفير. مقارنةً بـ Guard Trojan ، يستهدف Tandis أنظمة Windows فقط ويعتمد بشكل كبير على استعلامات WQL. ومع ذلك ، بخلاف ذلك ، فإن وظائفه تتوافق إلى حد كبير مع وظائف Guard وتهديدات WildPressure الأخرى. إنه يحقق الثبات عبر سجلات النظام وهو قادر على تنفيذ الأوامر خلسة ، وإسقاط حمولات إضافية للنظام ، وتحميل الملفات المختارة لتحديث نفسها ، وتشغيل روتين التنظيف ، وأخذ بصمات المضيف. بشكل أكثر تحديدًا ، يبحث Tandis عن جميع منتجات الأمان المثبتة باستثناء Defender.

الإضافات الخبيثة C ++

كما تم اكتشاف العديد من الوحدات النمطية المترابطة المبسطة المكتوبة بلغة C ++. وهي تتألف من Orchestrator والعديد من المكونات الإضافية التي تؤدي مهامًا محددة. تتحقق الوحدة الرئيسية (Orchestrator) مما إذا كان ملف التكوين المسمى "thumbnail.dat" موجودًا على الجهاز الذي تم اختراقه. يختلف الموقع الدقيق لهذا الملف تبعًا لإصدار نظام التشغيل Windows. يعمل Orchestrator كل دقيقتين ويفحص ملف التكوين للحصول على المعلومات المطلوبة لتنفيذ مكون إضافي محدد.

تأخذ المكونات الإضافية التالفة شكل مكتبات DLL. أحد المكونات الإضافية المكتشفة قادر على الحصول على معلومات مفصلة للغاية حول النظام عبر استعلامات WQL. تتضمن البيانات التي تم جمعها إصدار نظام التشغيل والإصلاحات العاجلة لنظام التشغيل المثبت ومصنعي BIOS و HDD وجميع منتجات البرامج المثبتة والتشغيلية ومنتجات الأمان المثبتة والتشغيل وحسابات المستخدمين وإعدادات محولات الشبكة والمزيد. تم تكليف مكونين إضافيين بإنشاء إجراءات تسجيل لوحة المفاتيح. يقوم الأول بتعيين خطاف WH_KEYBOARD_LL ويمكنه بعد ذلك التقاط ضغطات المفاتيح بالإضافة إلى اعتراض محتوى الحافظة وعناوين WIndows. المكون الإضافي الآخر مسؤول عن التقاط لقطات شاشة للنظام اعتمادًا على أحداث المؤقت والماوس من خلال تعيين خطاف WH_MOUSE_LL.