WildPressure APT

Още през 2019 г. заплашителна кампания, разгръщаща пълноценна троянска заплаха срещу цели, свързани с индустрията в Близкия изток, не успя да съвпадне с TTP (тактики, техники и процедури) на вече установените заплахи в региона. В резултат на това той беше приписан на новосъздадена ATP (Advanced Persistent Threat) група с обозначението WildPressure.

След тази първоначална операция хакерите изглежда са похарчили доста усилия за разширяване и подобряване на своя арсенал от вредни инструменти. Действително, нова кампания, носеща признаците на WildPressure, сега внедрява няколко никога невиждани заплахи за злонамерен софтуер, една от които е в състояние да компрометира macOS системи. Жертвите отново са от Близкия изток и по предварителна оценка са свързани с петролния и газовия сектор.

WildPressure също разнообрази своята инфраструктура. Операцията за 2019 г. се състоеше от VPS (виртуални частни сървъри), докато настоящата кампания включва и няколко легитимни сайта на WordPress, които са били компрометирани. Сред тях са „hxxp://adelice-formation[.]eu“, „hxxp://ricktallis[.]com/news“, „hxxp://whatismyserver123456[.]com,“ „hxxp://www. glisru[.]eu“ и „hxxp://www.mozh[.]org“.

В Milum троянеца

Оригиналната троянска заплаха беше премахната от WildPressure. Той е написан на C++ и използва формата JSON за своите конфигурационни данни. Същият формат се използва и при комуникацията със сървъра за командване и управление (C2, C&C). Единственото криптиране, наблюдавано в Milum, е RC4, но заплахата използва различен 64-байтов ключ за всяка жертва. На компрометираното устройство троянският кон приема формата на невидим прозорец на лентата с инструменти. Неговите заплашителни възможности включват изпълнение на получени команди, качване на данни на сървъра, получаване на подробности за файловете и системата, генериране и изпълнение на пакетен скрипт, който премахва Milum от системата, както и самообновяване, ако хакерите пуснат нова версия.

Троянецът Guard

Тази заплаха от злонамерен софтуер е написана на Python и може да зарази както Windows, така и macOS системи. Изглежда, че докато са го създавали, хакерите на WildPressure са били силно вдъхновени и са разчитали на публично достъпен код на трета страна. Като цяло заплахата споделя доста прилики с другите инструменти на WildPressure, особено що се отнася до стила на кодиране, неговия дизайн и комуникационния протокол C2. Изследователите на Infosec смятат, че Guard Trojan все още е в процес на активно разработване.

Една от първите функции, активирани специално на устройства с macOS, е да се определи дали друг екземпляр на троянския кон вече не се изпълнява. Разбираемо, механизмът на постоянство също е различен. На устройства с Windows троянецът създава ключ в системния регистър RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. За macOS системи обаче Guard декодира XML документ и след това генерира plist файл. След това злонамереният софтуер използва съдържанието на този файл в $HOME/Library/LaunchAgents/com.apple.pyapple.plist, за да се стартира автоматично. Заплахата също така използва отделни методи за получаване на подробности за системата в зависимост от операционната система. Що се отнася до неговите възможности, Guard може да бъде инструктиран да изтегля допълнителни файлове в нарушената система, да качва файлове, които представляват интерес към сървъра C2, да изпълнява команди, да извлича нова версия или да изпълнява процедура за почистване, за да премахне следите от системата.

В Tandis троянеца

Tandis е самодешифрираща се VBScript заплаха. В сравнение с Guard Trojan, Tandis е насочен само към Windows системи и разчита в голяма степен на WQL заявки. В противен случай обаче неговата функционалност до голяма степен съответства на тази на Guard и другите заплахи WildPressure. Той постига устойчивост чрез системни регистри и е в състояние да изпълнява тайно команди, да пуска допълнителни полезни товари към системата, да качва избрани файлове, да се актуализира, да изпълнява рутинна процедура за почистване и да снема пръстови отпечатъци на хоста. По-конкретно, Tandis търси всички инсталирани продукти за сигурност с изключение на Defender.

Злонамерени C++ плъгини

Открити са и няколко опростени взаимосвързани модула, написани на C++. Те се състоят от Orchestrator и няколко плъгина, изпълняващи специфични задачи. Основният модул (Orchestrator) проверява дали конфигурационен файл с име 'thumbnail.dat' присъства на нарушеното устройство. Точното местоположение на този файл варира в зависимост от версията на операционната система Windows. Orchestrator работи на всеки две минути и сканира конфигурационния файл за необходимата информация, за да изпълни конкретен плъгин.

Повредените плъгини са под формата на DLL. Един от откритите плъгини е в състояние да получи изключително подробна информация за системата чрез WQL заявки. Събраните данни включват версията на операционната система, инсталираните актуални корекции на ОС, производителите на BIOS и твърди дискове, всички инсталирани и работещи в момента софтуерни продукти, инсталирани и работещи продукти за сигурност, потребителски акаунти, настройки на мрежовите адаптери и др. Два допълнителни плъгина са натоварени със задачата да установят рутинни програми за кейлогинг. Първият задава кука WH_KEYBOARD_LL и след това може да улавя натискания на клавиши, както и да прихваща съдържание на клипборда и заглавия на WIndows. Другият плъгин е отговорен за правенето на екранни снимки на системата в зависимост от събитията на таймера и мишката, като зададе кука WH_MOUSE_LL.