WildPressure APT

2019. aastal ei suutnud ähvardav kampaania, mis kasutas Lähis-Ida tööstusega seotud sihtmärkide vastu täieõiguslikku Trooja ohtu, ühtida piirkonnas juba väljakujunenud ohus osalejate TTP-dega (taktikad, tehnikad ja protseduurid). Selle tulemusena omistati see äsja loodud ATP (Advanced Persistent Threat) rühmale, millele anti nimetus WildPressure.

Alates sellest esialgsest operatsioonist näivad häkkerid olevat palju vaeva näinud, et laiendada ja täiustada oma kahjulike tööriistade arsenali. Tõepoolest, uus kampaania, mis kannab WildPressure'i märke, juurutab nüüd mitu seninägematut pahavara ohtu, millest üks on võimeline kahjustama macOS-i süsteeme. Ohvrid on taas Lähis-Idast ja esialgse hinnangu kohaselt on nad seotud nafta- ja gaasisektoriga.

WildPressure on ka oma infrastruktuuri mitmekesistanud. 2019. aasta toiming koosnes VPS-ist (virtuaalsed privaatserverid), samas kui praegune kampaania hõlmab ka mitmeid seaduslikke WordPressi saite, mis on ohustatud. Nende hulgas on "hxxp://adelice-formation[.]eu", "hxxp://ricktallis[.]com/news", "hxxp://whatismyserver123456[.]com", "hxxp://www. glisru[.]eu" ja "hxxp://www.mozh[.]org."

Milum Trooja

WildPressure loobus algsest trooja ohust. See on kirjutatud C++ keeles ja kasutab konfiguratsiooniandmete jaoks JSON-vormingut. Sama vormingut kasutatakse ka suhtlemisel Command-and-Control (C2, C&C) serveriga. Ainus Milumis täheldatud krüpteering on RC4, kuid oht kasutab iga ohvri jaoks erinevat 64-baidist võtit. Ohustatud seadmes on troojalane nähtamatu tööriistariba aken. Selle ähvardavate võimaluste hulka kuulub vastuvõetud käskude täitmine, andmete serverisse üleslaadimine, failide ja süsteemi üksikasjade hankimine, Milumi süsteemist eemaldava partii skripti genereerimine ja käivitamine, samuti enda värskendamine, kui häkkerid avaldavad uue versiooni.

Trooja valvur

See pahavaraoht on kirjutatud Pythonis ja võib nakatada nii Windowsi kui ka macOS-i süsteeme. Näib, et selle loomise ajal said WildPressure'i häkkerid tugevalt inspiratsiooni ja toetusid avalikult kättesaadavale kolmanda osapoole koodile. Üldiselt jagab oht üsna palju sarnasusi teiste WildPressure'i tööriistadega, eriti mis puudutab kodeerimisstiili, selle kujundust ja C2 sideprotokolli. Infoseci teadlased usuvad, et Guard Trojan on endiselt aktiivses arenduses.

Üks esimesi spetsiaalselt macOS-i seadmetes aktiveeritud funktsioone on kindlaks teha, kas mõni troojalase mõni teine eksemplar juba ei tööta. Arusaadavalt on ka püsivusmehhanism erinev. Windowsi seadmetes loob troojalane RunOnce'i registrivõtme Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. MacOS-süsteemide puhul dekodeerib Guard XML-dokumendi ja genereerib seejärel plist-faili. Seejärel kasutab pahavara selle faili sisu, mis asub aadressil $HOME/Library/LaunchAgents/com.apple.pyapple.plist, et ennast automaatselt käivitada. Oht kasutab olenevalt OS-ist ka süsteemi üksikasjade hankimiseks eraldi meetodeid. Mis puutub selle võimalustesse, siis saab Guardile ülesandeks laadida alla täiendavaid faile rikutud süsteemi, laadida huvipakkuvad failid üles C2 serverisse, täita käske, tuua uus versioon või teostada puhastusrutiin selle jälgede eemaldamiseks süsteemist.

Tandis Trooja

Tandis on ise dekrüpteeriv VBScripti oht. Võrreldes Guard Troojaga, sihib Tandis ainult Windowsi süsteeme ja tugineb suuresti WQL-päringutele. Kuid muidu on selle funktsionaalsus suures osas kooskõlas Guardi ja teiste WildPressure'i ohtudega. See saavutab püsivuse süsteemiregistrite kaudu ja on võimeline vargsi täitma käske, lisama süsteemi lisakoormusi, laadima üles valitud failid, värskendades ennast, käivitama puhastusrutiini ja võtma hostilt sõrmejälgi. Täpsemalt otsib Tandis kõiki installitud turbetooteid, välja arvatud Defender.

Pahatahtlikud C++ pistikprogrammid

Samuti on avastatud mitu C++ keeles kirjutatud lihtsustatud omavahel ühendatud moodulit. Need koosnevad Orchestratorist ja mitmest pistikprogrammist, mis täidavad konkreetseid ülesandeid. Põhimoodul (Orchestrator) kontrollib, kas rikutud seadmes on konfiguratsioonifail nimega 'thumbnail.dat'. Selle faili täpne asukoht sõltub Windowsi OS-i versioonist. Orchestrator töötab iga kahe minuti järel ja skannib konfiguratsioonifailist konkreetse pistikprogrammi käivitamiseks vajalikku teavet.

Rikutud pistikprogrammid on DLL-ide kujul. Üks avastatud pistikprogrammidest suudab WQL-päringute kaudu hankida süsteemi kohta äärmiselt üksikasjalikku teavet. Kogutud andmed hõlmavad operatsioonisüsteemi versiooni, installitud OS-i kiirparandusi, BIOS-i ja HDD-tootjaid, kõiki installitud ja praegu töötavaid tarkvaratooteid, installitud ja töötavaid turbetooteid, kasutajakontosid, võrguadapterite sätteid ja palju muud. Kahe lisaplugina ülesandeks on luua klahvilogimise rutiinid. Esimene seab konksu WH_KEYBOARD_LL ja saab seejärel jäädvustada klahvivajutused ning lõikepuhvri sisu ja WIndowsi pealkirjad. Teine pistikprogramm vastutab süsteemist ekraanipiltide tegemise eest olenevalt taimeri ja hiire sündmustest, seadistades konksu WH_MOUSE_LL.