WildPressure APT
Το 2019, μια απειλητική εκστρατεία που ανέπτυξε μια πλήρη Τρωική απειλή εναντίον στόχων που σχετίζονται με τη βιομηχανία στη Μέση Ανατολή απέτυχε να ταιριάζει με τους TTP (τακτικές, τεχνικές και διαδικασίες) των ήδη καθιερωμένων παραγόντων απειλής στην περιοχή. Ως αποτέλεσμα, αποδόθηκε σε μια νεοσύστατη ομάδα ATP (Advanced Persistent Threat) με την ονομασία WildPressure.
Από αυτήν την αρχική επιχείρηση, οι χάκερ φαίνεται να έχουν καταβάλει αρκετή προσπάθεια για να επεκτείνουν και να βελτιώσουν το οπλοστάσιό τους με επιβλαβή εργαλεία. Πράγματι, μια νέα καμπάνια που φέρει τα σημάδια του WildPressure αναπτύσσει τώρα αρκετές απειλές κακόβουλου λογισμικού που δεν είχαν ξαναδεί, μία από τις οποίες είναι ικανή να διακυβεύσει συστήματα macOS. Τα θύματα είναι για άλλη μια φορά από τη Μέση Ανατολή και με μια πρόχειρη εκτίμηση ότι σχετίζονται με τον τομέα του πετρελαίου και του φυσικού αερίου.
Η WildPressure έχει επίσης διαφοροποιήσει την υποδομή της. Η λειτουργία του 2019 αποτελούνταν από VPS (Virtual Private Servers) ενώ η τρέχουσα καμπάνια περιλαμβάνει επίσης αρκετούς νόμιμους ιστότοπους WordPress που έχουν παραβιαστεί. Μεταξύ αυτών είναι τα «hxxp://adelice-formation[.]eu», «hxxp://ricktallis[.]com/news», «hxxp://whatismyserver123456[.]com», «hxxp://www. glisru[.]eu,' και 'hxxp://www.mozh[.]org.'
Το Milum Trojan
Η αρχική απειλή Trojan απορρίφθηκε από το WildPressure. Είναι γραμμένο σε C++ και χρησιμοποιεί τη μορφή JSON για τα δεδομένα διαμόρφωσής του. Η ίδια μορφή χρησιμοποιείται επίσης στην επικοινωνία με τον διακομιστή Command-and-Control (C2, C&C). Η μόνη κρυπτογράφηση που παρατηρείται στο Milum είναι το RC4, αλλά η απειλή χρησιμοποιεί διαφορετικό κλειδί 64 byte για κάθε θύμα. Στη συσκευή που έχει παραβιαστεί, το Trojan παίρνει τη μορφή ενός αόρατου παραθύρου της γραμμής εργαλείων. Οι απειλητικές δυνατότητές του περιλαμβάνουν την εκτέλεση λαμβανόμενων εντολών, τη μεταφόρτωση δεδομένων στον διακομιστή, τη λήψη λεπτομερειών αρχείου και συστήματος, τη δημιουργία και την εκτέλεση ενός σεναρίου δέσμης που αφαιρεί το Milum από το σύστημα καθώς και την ενημέρωση εάν κυκλοφορήσει μια νέα έκδοση από τους χάκερ.
The Guard Trojan
Αυτή η απειλή κακόβουλου λογισμικού είναι γραμμένη σε Python και μπορεί να μολύνει συστήματα Windows και macOS. Φαίνεται ότι κατά τη δημιουργία του, οι χάκερ WildPressure εμπνεύστηκαν σε μεγάλο βαθμό και βασίστηκαν σε δημόσια διαθέσιμο κώδικα τρίτων. Συνολικά, η απειλή έχει πολλές ομοιότητες με τα άλλα εργαλεία WildPressure, ειδικά όταν πρόκειται για το στυλ κωδικοποίησης, τη σχεδίασή της και το πρωτόκολλο επικοινωνίας C2. Οι ερευνητές της Infosec πιστεύουν ότι το Guard Trojan βρίσκεται ακόμα υπό ενεργό ανάπτυξη.
Μία από τις πρώτες λειτουργίες που ενεργοποιήθηκαν ειδικά σε συσκευές macOS είναι να προσδιορίσετε εάν δεν εκτελείται ήδη μια άλλη παρουσία του Trojan. Ο μηχανισμός επιμονής είναι κατανοητό επίσης διαφορετικός. Σε συσκευές Windows, ο Trojan δημιουργεί ένα κλειδί μητρώου RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Ωστόσο, για συστήματα macOS, το Guard αποκωδικοποιεί ένα έγγραφο XML και στη συνέχεια δημιουργεί ένα αρχείο plist. Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί τα περιεχόμενα αυτού του αρχείου στη διεύθυνση $HOME/Library/LaunchAgents/com.apple.pyapple.plist για αυτόματη εκτέλεση. Η απειλή χρησιμοποιεί επίσης ξεχωριστές μεθόδους για τη λήψη λεπτομερειών σχετικά με το σύστημα ανάλογα με το λειτουργικό σύστημα. Όσον αφορά τις δυνατότητές του, το Guard μπορεί να λάβει οδηγίες να κατεβάσει πρόσθετα αρχεία στο σύστημα που έχει παραβιαστεί, να ανεβάσει αρχεία ενδιαφέροντος στον διακομιστή C2, να εκτελέσει εντολές, να ανακτήσει μια νέα έκδοση ή να εκτελέσει μια ρουτίνα εκκαθάρισης για να αφαιρέσει τα ίχνη του από το σύστημα.
Ο Τρώας Tandis
Το Tandis είναι μια απειλή VBScript που αποκρυπτογραφείται αυτόματα. Σε σύγκριση με το Guard Trojan, το Tandis στοχεύει μόνο συστήματα Windows και βασίζεται σε μεγάλο βαθμό σε ερωτήματα WQL. Ωστόσο, κατά τα άλλα, η λειτουργικότητά του είναι σε μεγάλο βαθμό συνεπής με αυτή του Guard και των άλλων απειλών WildPressure. Επιτυγχάνει επιμονή μέσω μητρώων συστήματος και είναι σε θέση να εκτελεί κρυφά εντολές, να ρίχνει πρόσθετα ωφέλιμα φορτία στο σύστημα, να ανεβάζει επιλεγμένα αρχεία που ενημερώνονται, να εκτελεί μια ρουτίνα εκκαθάρισης και να παίρνει δακτυλικά αποτυπώματα στον κεντρικό υπολογιστή. Πιο συγκεκριμένα, η Tandis αναζητά όλα τα εγκατεστημένα προϊόντα ασφαλείας με εξαίρεση το Defender.
Κακόβουλα πρόσθετα C++
Έχουν επίσης ανακαλυφθεί αρκετές απλοϊκές διασυνδεδεμένες μονάδες γραμμένες σε C++. Αποτελούνται από έναν ενορχηστρωτή και πολλά πρόσθετα που εκτελούν συγκεκριμένες εργασίες. Η κύρια μονάδα (Orchestrator) ελέγχει εάν υπάρχει ένα αρχείο διαμόρφωσης με το όνομα 'thumbnail.dat' στη συσκευή που έχει παραβιαστεί. Η ακριβής θέση αυτού του αρχείου ποικίλλει ανάλογα με την έκδοση του λειτουργικού συστήματος Windows. Ο ενορχηστρωτής εκτελείται κάθε δύο λεπτά και σαρώνει το αρχείο ρυθμίσεων για τις απαιτούμενες πληροφορίες για την εκτέλεση μιας συγκεκριμένης προσθήκης.
Τα κατεστραμμένα πρόσθετα έχουν τη μορφή DLL. Ένα από τα πρόσθετα που ανακαλύφθηκαν είναι σε θέση να λαμβάνει εξαιρετικά λεπτομερείς πληροφορίες σχετικά με το σύστημα μέσω ερωτημάτων WQL. Τα δεδομένα που συλλέγονται περιλαμβάνουν την έκδοση του λειτουργικού συστήματος, τις εγκατεστημένες επείγουσες επιδιορθώσεις του λειτουργικού συστήματος, τους κατασκευαστές BIOS και HDD, όλα τα εγκατεστημένα και τρέχοντα προϊόντα λογισμικού, τα εγκατεστημένα και εκτελούμενα προϊόντα ασφαλείας, λογαριασμούς χρηστών, ρυθμίσεις προσαρμογέων δικτύου και άλλα. Δύο επιπλέον πρόσθετα επιφορτίζονται με τη δημιουργία ρουτίνες καταγραφής πληκτρολογίου. Το πρώτο θέτει ένα άγκιστρο WH_KEYBOARD_LL και στη συνέχεια μπορεί να καταγράψει πατήματα πλήκτρων, καθώς και να υποκλέψει το περιεχόμενο του προχείρου και τους τίτλους των Windows. Η άλλη προσθήκη είναι υπεύθυνη για τη λήψη στιγμιότυπων οθόνης του συστήματος ανάλογα με τα συμβάντα του χρονοδιακόπτη και του ποντικιού, ορίζοντας ένα άγκιστρο WH_MOUSE_LL.
