WildPressure APT

در سال 2019، یک کمپین تهدیدآمیز که یک تهدید تروجان تمام عیار علیه اهداف مرتبط با صنعت در خاورمیانه به کار می‌برد، نتوانست با TTPها (تاکتیک‌ها، تکنیک‌ها و رویه‌ها) بازیگران تهدید از قبل تثبیت شده در منطقه مطابقت داشته باشد. در نتیجه، به یک گروه جدید ATP (تهدید پایدار پیشرفته) با نام WildPressure نسبت داده شد.

از زمان این عملیات اولیه، به نظر می رسد هکرها تلاش زیادی را صرف گسترش و بهبود زرادخانه ابزارهای مضر خود کرده اند. در واقع، کمپین جدیدی که نشانه‌های WildPressure را در خود دارد، اکنون چندین تهدید بدافزاری را که قبلاً دیده نشده بود، به کار می‌گیرد که یکی از آنها می‌تواند سیستم‌های macOS را به خطر بیندازد. قربانیان بار دیگر اهل خاورمیانه و با تخمین آزمایشی مربوط به بخش نفت و گاز هستند.

WildPressure همچنین زیرساخت های خود را متنوع کرده است. عملیات 2019 شامل VPS (سرورهای خصوصی مجازی) بود، در حالی که کمپین فعلی شامل چندین سایت وردپرس قانونی نیز می شود که به خطر افتاده اند. از جمله آنها می توان به 'hxxp://adelice-formation[.]eu، 'hxxp://ricktallis[.]com/news، 'hxxp://whatismyserver123456[.]com، 'hxxp://www. glisru[.]eu، و 'hxxp://www.mozh[.]org.'

Milum تروجان

تهدید اصلی تروجان توسط WildPressure حذف شد. این به زبان C++ نوشته شده است و از فرمت JSON برای داده های پیکربندی خود استفاده می کند. همین فرمت همچنین در ارتباط با سرور فرماندهی و کنترل (C2, C&C) استفاده می شود. تنها رمزگذاری مشاهده شده در Milum RC4 است اما این تهدید از یک کلید 64 بایتی متفاوت برای هر قربانی استفاده می کند. در دستگاه در معرض خطر، تروجان به شکل یک پنجره نوار ابزار نامرئی است. قابلیت‌های تهدیدکننده آن شامل اجرای دستورات دریافتی، آپلود داده‌ها در سرور، دریافت جزئیات فایل و سیستم، تولید و اجرای یک اسکریپت دسته‌ای است که Milum را از سیستم حذف می‌کند و همچنین در صورت انتشار نسخه جدید توسط هکرها، خود را به‌روزرسانی می‌کند.

تروجان گارد

این تهدید بدافزار به زبان پایتون نوشته شده است و می تواند هر دو سیستم ویندوز و macOS را آلوده کند. به نظر می رسد که هنگام ایجاد آن، هکرهای WildPressure به شدت الهام گرفته و به کدهای شخص ثالث در دسترس عموم متکی بوده اند. به طور کلی، این تهدید شباهت‌های زیادی با سایر ابزارهای WildPressure دارد، به خصوص در مورد سبک کدنویسی، طراحی آن و پروتکل ارتباطی C2. محققان اینفوسک معتقدند که تروجان گارد هنوز در حال توسعه فعال است.

یکی از اولین عملکردهایی که به طور خاص در دستگاه‌های macOS فعال می‌شود، تعیین اینکه آیا نمونه دیگری از تروجان قبلاً اجرا نشده است یا خیر. مکانیسم تداوم نیز به طور قابل درک متفاوت است. در دستگاه های ویندوز، تروجان یک کلید رجیستری RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system ایجاد می کند. اما برای سیستم‌های macOS، Guard یک سند XML را رمزگشایی می‌کند و سپس یک فایل plist تولید می‌کند. سپس بدافزار از محتویات آن فایل در آدرس $HOME/Library/LaunchAgents/com.apple.pyapple.plist برای اجرای خودکار خود استفاده می کند. این تهدید همچنین از روش های جداگانه ای برای به دست آوردن جزئیات سیستم بسته به سیستم عامل استفاده می کند. در مورد قابلیت‌های گارد می‌توان به دانلود فایل‌های اضافی در سیستم نقض‌شده، آپلود فایل‌های مورد علاقه در سرور C2، اجرای دستورات، واکشی نسخه جدید یا انجام یک روال پاک‌سازی برای حذف آثار آن از سیستم دستور داد.

تندیس تروجان

Tandis یک تهدید VBScript خود رمزگشایی است. در مقایسه با گارد تروجان، Tandis فقط سیستم‌های ویندوز را هدف قرار می‌دهد و به شدت به جستارهای WQL متکی است. با این حال، در غیر این صورت، عملکرد آن تا حد زیادی با گارد و سایر تهدیدات WildPressure سازگار است. از طریق رجیستری‌های سیستم به ماندگاری می‌رسد و می‌تواند به‌طور مخفیانه دستورات را اجرا کند، بارهای اضافی را به سیستم منتقل کند، فایل‌های انتخابی را بارگذاری کند که خودش به‌روزرسانی می‌شود، یک روال پاک‌سازی را اجرا کند و از هاست اثر انگشت بگیرد. به طور خاص، Tandis به دنبال تمام محصولات امنیتی نصب شده به استثنای Defender است.

پلاگین های مخرب ++C

چندین ماژول به هم پیوسته ساده که در C++ نوشته شده اند نیز کشف شده اند. آنها شامل یک ارکستراتور و چندین پلاگین هستند که وظایف خاصی را انجام می دهند. ماژول اصلی (Orchestrator) بررسی می کند که آیا یک فایل پیکربندی به نام "thumbnail.dat" در دستگاه نقض شده وجود دارد یا خیر. مکان دقیق این فایل بسته به نسخه سیستم عامل ویندوز متفاوت است. Orchestrator هر دو دقیقه اجرا می شود و فایل پیکربندی را برای اطلاعات مورد نیاز برای اجرای یک پلاگین خاص اسکن می کند.

پلاگین های خراب به شکل DLL هستند. یکی از پلاگین های کشف شده قادر است اطلاعات بسیار دقیقی در مورد سیستم از طریق پرس و جوهای WQL به دست آورد. داده‌های جمع‌آوری‌شده شامل نسخه سیستم‌عامل، رفع‌های فوری سیستم‌عامل، سازندگان BIOS و HDD، همه محصولات نرم‌افزاری نصب‌شده و در حال اجرا، محصولات امنیتی نصب‌شده و در حال اجرا، حساب‌های کاربری، تنظیمات آداپتورهای شبکه و موارد دیگر است. دو پلاگین اضافی وظیفه ایجاد روال های keylogging را دارند. اولین مورد یک قلاب WH_KEYBOARD_LL تنظیم می کند و سپس می تواند ضربات کلید و همچنین رهگیری محتوای کلیپ بورد و عناوین ویندوز را بگیرد. پلاگین دیگر وظیفه گرفتن اسکرین شات از سیستم را بسته به رویدادهای تایمر و ماوس با تنظیم یک قلاب WH_MOUSE_LL بر عهده دارد.