WildPressure APT

Tilbage i 2019 kunne en truende kampagne, der implementerede en fuldt udbygget trojansk trussel mod industrirelaterede mål i Mellemøsten, ikke matche TTP'erne (taktik, teknikker og procedurer) for de allerede etablerede trusselaktører i regionen. Som et resultat blev det tilskrevet en nyetableret ATP-gruppe (Advanced Persistent Threat) -gruppe givet betegnelsen WildPressure.

Siden denne første operation ser det ud til, at hackerne har brugt en hel del kræfter på at udvide og forbedre deres arsenal af skadelige værktøjer. Faktisk implementerer en ny kampagne med tegn på WildPressure nu adskillige aldrig før set malware-trusler, hvoraf den ene er i stand til at kompromittere macOS-systemer. Ofrene er igen fra Mellemøsten og med et foreløbigt skøn over, at de er relateret til olie- og gassektoren.

WildPressure har også diversificeret sin infrastruktur. Operationen i 2019 bestod af VPS (Virtual Private Servers), mens den aktuelle kampagne også inkluderer flere legitime WordPress-websteder, der er kompromitteret. Blandt dem er 'hxxp: // adelice-formation [.] Eu,' 'hxxp: // ricktallis [.] Com / news,' 'hxxp: // whatismyserver123456 [.] Com,' 'hxxp: // www. glisru [.] eu, 'og' hxxp: //www.mozh [.] org. '

Den Milum Trojan

Den oprindelige trojanske trussel blev droppet af WildPressure. Den er skrevet i C ++ og bruger JSON-formatet til sine konfigurationsdata. Det samme format anvendes også i kommunikationen med Command-and-Control (C2, C&C) serveren. Den eneste kryptering, der observeres i Milum, er RC4, men truslen bruger en anden 64-byte-nøgle til hvert offer. På den kompromitterede enhed tager Trojan form af et usynligt værktøjslinjevindue. Dets truende kapaciteter inkluderer udførelse af modtagne kommandoer, upload af data til serveren, hentning af fil- og systemoplysninger, generering og udførelse af et batch-script, der fjerner Milum fra systemet, samt opdatering af sig selv, hvis en ny version frigives af hackerne.

Vagttrojanen

Denne malware-trussel er skrevet i Python og kan inficere både Windows- og macOS-systemer. Det ser ud til, at WildPressure-hackerne under oprettelsen var stærkt inspirerede og stolede på offentligt tilgængelig tredjepartskode. Samlet set deler truslen en hel del ligheder med de andre WildPressure-værktøjer, især når det kommer til kodestilen, dens design og C2-kommunikationsprotokollen. Infosec-forskere mener, at Guard Trojan stadig er under aktiv udvikling.

En af de første funktioner, der er aktiveret specifikt på macOS-enheder, er at afgøre, om en anden forekomst af Trojan ikke allerede kører. Persistensmekanismen er forståeligt nok også forskellig. På Windows-enheder opretter Trojan en RunOnce-registreringsdatabasenøgle Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. For macOS-systemer afkoder Guard dog et XML-dokument og genererer derefter en plist-fil. Malwaren bruger derefter indholdet af denne fil på $ HOME / Library / LaunchAgents / com.apple.pyapple.plist til automatisk at køre sig selv. Truslen anvender også separate metoder til at få oplysninger om systemet afhængigt af operativsystemet. Med hensyn til dets muligheder kan Guard instrueres om at downloade yderligere filer til det brudte system, uploade filer af interesse til C2-serveren, udføre kommandoer, hente en ny version eller udføre en oprydningsrutine for at fjerne sporene fra systemet.

Den Tandis Trojan

Tandis er en selvdekrypterende VBScript-trussel. Sammenlignet med Guard Trojan er Tandis kun målrettet mod Windows-systemer og er stærkt afhængig af WQL-forespørgsler. Men ellers er dens funktionalitet stort set i overensstemmelse med Guard og de andre WildPressure-trusler. Det opnår vedholdenhed via systemregistre og er i stand til snigende at udføre kommandoer, slippe yderligere nyttelast til systemet, uploade valgte filer, der opdaterer sig selv, kører en oprydningsrutine og fingeraftryk værten. Mere specifikt ser Tandis efter alle installerede sikkerhedsprodukter med undtagelse af Defender.

Ondsindede C ++ plugins

Flere forenklede sammenkoblede moduler skrevet i C ++ er også blevet opdaget. De består af en Orchestrator og flere plugins, der udfører specifikke opgaver. Hovedmodulet (Orchestrator) kontrollerer, om en konfigurationsfil med navnet 'thumbnail.dat' er til stede på den brudte enhed. Den nøjagtige placering af denne fil varierer afhængigt af versionen af Windows OS. Orchestrator kører hvert andet minut og scanner konfigurationsfilen for de krævede oplysninger for at udføre et specifikt plugin.

De beskadigede plugins har form af DLL'er. Et af de opdagede plugins er i stand til at få ekstremt detaljerede oplysninger om systemet via WQL-forespørgsler. De indsamlede data inkluderer OS-version, installerede OS-hotfixes, BIOS- og HDD-producenter, alle installerede og aktuelt kørende softwareprodukter, installerede og kørende sikkerhedsprodukter, brugerkonti, netværkskortindstillinger og mere. To ekstra plugins har til opgave at etablere keylogging-rutiner. Den første indstiller en WH_KEYBOARD_LL-krog og kan derefter fange tastetryk samt opfange udklipsholderindhold og WIndows-titler. Det andet plugin er ansvarlig for at tage skærmbilleder af systemet afhængigt af timer- og musebegivenheder ved at indstille en WH_MOUSE_LL-krog.