WildPressure APT
V roce 2019 nedokázala hrozivá kampaň nasazující plnohodnotnou trojskou hrozbu proti průmyslovým cílům na Středním východě odpovídat TTP (taktiky, techniky a postupy) již zavedených aktérů hrozeb v regionu. V důsledku toho byl připsán nově založené skupině ATP (Advanced Persistent Threat) s označením WildPressure.
Od této počáteční operace se zdá, že hackeři vynaložili značné úsilí na rozšíření a vylepšení svého arzenálu škodlivých nástrojů. Nová kampaň nesoucí znaky WildPressure nyní skutečně nasazuje několik dosud neviděných malwarových hrozeb, z nichž jedna je schopna kompromitovat systémy macOS. Oběti jsou opět ze Středního východu a podle předběžného odhadu souvisí s ropným a plynárenským sektorem.
WildPressure také diverzifikoval svou infrastrukturu. Operace z roku 2019 sestávala z VPS (virtuálních soukromých serverů), zatímco současná kampaň zahrnuje také několik legitimních webů WordPress, které byly kompromitovány. Mezi nimi jsou 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu“ a „hxxp://www.mozh[.]org.“
Milum Trojan
Původní trojská hrozba byla zrušena WildPressure. Je napsán v C++ a pro svá konfigurační data používá formát JSON. Stejný formát je také použit při komunikaci se serverem Command-and-Control (C2, C&C). Jediné šifrování pozorované v Milum je RC4, ale hrozba používá pro každou oběť jiný 64bajtový klíč. Na napadeném zařízení má trojský kůň podobu neviditelného okna panelu nástrojů. Mezi jeho ohrožující schopnosti patří provádění přijatých příkazů, nahrávání dat na server, získávání podrobností o souborech a systému, generování a spouštění dávkového skriptu, který odstraní Milum ze systému, a také samotná aktualizace, pokud hackeři uvolní novou verzi.
Strážný Trojan
Tato malwarová hrozba je napsána v Pythonu a může infikovat systémy Windows i macOS. Zdá se, že při jeho vytváření se hackeři WildPressure silně inspirovali a spoléhali na veřejně dostupný kód třetích stran. Celkově hrozba sdílí poměrně hodně podobností s ostatními nástroji WildPressure, zejména pokud jde o styl kódování, jeho design a komunikační protokol C2. Výzkumníci společnosti Infosec se domnívají, že trojský kůň Guard je stále aktivně vyvíjen.
Jednou z prvních funkcí aktivovaných konkrétně na zařízeních macOS je zjištění, zda již není spuštěna jiná instance trojského koně. Mechanismus perzistence je pochopitelně také odlišný. Na zařízeních se systémem Windows vytvoří trojský kůň klíč registru RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Pro systémy macOS však Guard dekóduje dokument XML a poté vygeneruje soubor plist. Malware pak použije obsah tohoto souboru na $HOME/Library/LaunchAgents/com.apple.pyapple.plist k automatickému spuštění. Hrozba také využívá samostatné metody pro získání podrobností o systému v závislosti na OS. Pokud jde o jeho schopnosti, Guard může být instruován, aby stáhl další soubory do narušeného systému, nahrál soubory, které vás zajímají, na server C2, provedl příkazy, načetl novou verzi nebo provedl rutinu čištění k odstranění jeho stop ze systému.
Tandis Trojan
Tandis je samodešifrující hrozba VBScript. Ve srovnání s trojským koněm Guard se Tandis zaměřuje pouze na systémy Windows a silně se spoléhá na dotazy WQL. Jinak je však jeho funkčnost do značné míry konzistentní s funkcí Guard a dalších hrozeb WildPressure. Dosahuje stálosti prostřednictvím systémových registrů a je schopen tajně spouštět příkazy, přenášet další užitečné zatížení do systému, nahrávat vybrané soubory, aktualizovat se sám, spouštět rutinu čištění a otiskovat hostitele. Přesněji řečeno, Tandis hledá všechny nainstalované bezpečnostní produkty s výjimkou Defenderu.
Škodlivé pluginy C++
Bylo také objeveno několik zjednodušujících propojených modulů napsaných v C++. Skládají se z Orchestratoru a několika pluginů provádějících specifické úkoly. Hlavní modul (Orchestrator) zkontroluje, zda je na narušeném zařízení přítomen konfigurační soubor s názvem 'thumbnail.dat'. Přesné umístění tohoto souboru se liší v závislosti na verzi operačního systému Windows. Orchestrator se spouští každé dvě minuty a skenuje konfigurační soubor pro požadované informace pro spuštění konkrétního pluginu.
Poškozené pluginy mají podobu knihoven DLL. Jeden z objevených pluginů je schopen získat extrémně podrobné informace o systému prostřednictvím WQL dotazů. Shromážděná data zahrnují verzi OS, nainstalované opravy hotfix OS, výrobce BIOSu a HDD, všechny nainstalované a aktuálně spuštěné softwarové produkty, nainstalované a spuštěné bezpečnostní produkty, uživatelské účty, nastavení síťových adaptérů a další. Dva další pluginy mají za úkol vytvořit rutiny pro záznam kláves. První nastaví háček WH_KEYBOARD_LL a poté dokáže zachytit stisknuté klávesy a také zachytit obsah schránky a titulky systému Windows. Druhý plugin je zodpovědný za pořizování snímků obrazovky systému v závislosti na událostech časovače a myši nastavením háčku WH_MOUSE_LL.
