WildPressure APT

L'any 2019, una campanya amenaçadora que desplegava una amenaça de troia completa contra objectius relacionats amb la indústria a l'Orient Mitjà no va aconseguir coincidir amb les TTP (tàctiques, tècniques i procediments) dels actors d'amenaça ja establerts a la regió. Com a resultat, es va atribuir a un grup d'ATP (amenaça persistent avançada) recent establert amb la denominació WildPressure.

Des d'aquesta operació inicial, sembla que els pirates informàtics han dedicat molt d'esforç a expandir i millorar el seu arsenal d'eines nocives. De fet, una nova campanya amb els signes de WildPressure està desplegant ara diverses amenaces de programari maliciós mai vistes, una de les quals és capaç de comprometre els sistemes macOS. Les víctimes tornen a ser de l'Orient Mitjà i amb una estimació provisional que estan relacionades amb el sector del petroli i el gas.

WildPressure també ha diversificat la seva infraestructura. L'operació del 2019 va consistir en VPS (servidors privats virtuals), mentre que la campanya actual també inclou diversos llocs legítims de WordPress que s'han vist compromesos. Entre ells hi ha "hxxp://adelice-formation[.]eu", "hxxp://ricktallis[.]com/news," "hxxp://whatismyserver123456[.]com", "hxxp://www. glisru[.]eu,' i 'hxxp://www.mozh[.]org.'

El troià Milum

L'amenaça de troia original va ser eliminada per WildPressure. Està escrit en C++ i utilitza el format JSON per a les seves dades de configuració. El mateix format també s'utilitza en la comunicació amb el servidor Command-and-Control (C2, C&C). L'únic xifratge observat a Milum és RC4, però l'amenaça utilitza una clau diferent de 64 bytes per a cada víctima. Al dispositiu compromès, el troià pren la forma d'una finestra de barra d'eines invisible. Les seves capacitats amenaçadores inclouen executar ordres rebudes, carregar dades al servidor, obtenir detalls del fitxer i del sistema, generar i executar un script per lots que elimina Milum del sistema, així com actualitzar-se si els pirates informàtics alliberen una nova versió.

El troià de la Guàrdia

Aquesta amenaça de programari maliciós està escrita en Python i pot infectar els sistemes Windows i macOS. Sembla que mentre el van crear, els pirates informàtics de WildPressure es van inspirar molt i van confiar en el codi de tercers disponible públicament. En general, l'amenaça comparteix moltes similituds amb les altres eines WildPressure, especialment pel que fa a l'estil de codificació, el seu disseny i el protocol de comunicació C2. Els investigadors d'Infosec creuen que el troià Guard encara està en desenvolupament actiu.

Una de les primeres funcions activades específicament als dispositius macOS és determinar si una altra instància del troià encara no s'està executant. El mecanisme de persistència també és comprensiblement diferent. En dispositius Windows, el troià crea una clau de registre RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Per als sistemes macOS, però, Guard descodifica un document XML i després genera un fitxer plist. Aleshores, el programari maliciós utilitza el contingut d'aquest fitxer a $HOME/Library/LaunchAgents/com.apple.pyapple.plist per executar-se automàticament. L'amenaça també utilitza mètodes separats per obtenir detalls sobre el sistema en funció del sistema operatiu. Pel que fa a les seves capacitats, es pot demanar a Guard que descarregui fitxers addicionals al sistema violat, carregui fitxers d'interès al servidor C2, executi ordres, obtingui una versió nova o realitzi una rutina de neteja per eliminar els seus rastres del sistema.

El troià Tandis

Tandis és una amenaça de VBScript que s'autodesxifra. En comparació amb el troià Guard, Tandis només s'adreça als sistemes Windows i depèn molt de les consultes WQL. Tanmateix, en cas contrari, la seva funcionalitat és en gran mesura coherent amb la de Guard i les altres amenaces de WildPressure. Aconsegueix la persistència mitjançant els registres del sistema i és capaç d'executar ordres de manera sigilosa, deixar caure càrregues útils addicionals al sistema, carregar els fitxers escollits actualitzar-se, executar una rutina de neteja i prendre les empremtes digitals de l'amfitrió. Més concretament, Tandis busca tots els productes de seguretat instal·lats amb l'excepció de Defender.

Connectors C++ maliciosos

També s'han descobert diversos mòduls interconnectats simplistes escrits en C++. Consten d'un orquestrador i diversos connectors que realitzen tasques específiques. El mòdul principal (Orchestrator) comprova si hi ha un fitxer de configuració anomenat 'thumbnail.dat' al dispositiu trencat. La ubicació exacta d'aquest fitxer varia en funció de la versió del sistema operatiu Windows. L'Orchestrator s'executa cada dos minuts i escaneja el fitxer de configuració per trobar la informació necessària per executar un connector específic.

Els connectors danyats prenen la forma de DLL. Un dels connectors descoberts és capaç d'obtenir informació molt detallada sobre el sistema mitjançant consultes WQL. Les dades recollides inclouen la versió del sistema operatiu, les revisions del sistema operatiu instal·lat, els fabricants de BIOS i HDD, tots els productes de programari instal·lats i en execució, productes de seguretat instal·lats i en execució, comptes d'usuari, configuració d'adaptadors de xarxa i molt més. Dos complements addicionals tenen la tasca d'establir rutines de registre de tecles. El primer estableix un ganxo WH_KEYBOARD_LL i després pot capturar les pulsacions de tecles, així com interceptar el contingut del porta-retalls i els títols de Windows. L'altre connector s'encarrega de fer captures de pantalla del sistema en funció dels esdeveniments del temporitzador i del ratolí mitjançant la configuració d'un ganxo WH_MOUSE_LL.