WildPressure APT
در سال 2019، یک کمپین تهدیدآمیز که یک تهدید تروجان تمام عیار علیه اهداف مرتبط با صنعت در خاورمیانه به کار میبرد، نتوانست با TTPها (تاکتیکها، تکنیکها و رویهها) بازیگران تهدید از قبل تثبیت شده در منطقه مطابقت داشته باشد. در نتیجه، به یک گروه جدید ATP (تهدید پایدار پیشرفته) با نام WildPressure نسبت داده شد.
از زمان این عملیات اولیه، به نظر می رسد هکرها تلاش زیادی را صرف گسترش و بهبود زرادخانه ابزارهای مضر خود کرده اند. در واقع، کمپین جدیدی که نشانههای WildPressure را در خود دارد، اکنون چندین تهدید بدافزاری را که قبلاً دیده نشده بود، به کار میگیرد که یکی از آنها میتواند سیستمهای macOS را به خطر بیندازد. قربانیان بار دیگر اهل خاورمیانه و با تخمین آزمایشی مربوط به بخش نفت و گاز هستند.
WildPressure همچنین زیرساخت های خود را متنوع کرده است. عملیات 2019 شامل VPS (سرورهای خصوصی مجازی) بود، در حالی که کمپین فعلی شامل چندین سایت وردپرس قانونی نیز می شود که به خطر افتاده اند. از جمله آنها می توان به 'hxxp://adelice-formation[.]eu، 'hxxp://ricktallis[.]com/news، 'hxxp://whatismyserver123456[.]com، 'hxxp://www. glisru[.]eu، و 'hxxp://www.mozh[.]org.'
Milum تروجان
تهدید اصلی تروجان توسط WildPressure حذف شد. این به زبان C++ نوشته شده است و از فرمت JSON برای داده های پیکربندی خود استفاده می کند. همین فرمت همچنین در ارتباط با سرور فرماندهی و کنترل (C2, C&C) استفاده می شود. تنها رمزگذاری مشاهده شده در Milum RC4 است اما این تهدید از یک کلید 64 بایتی متفاوت برای هر قربانی استفاده می کند. در دستگاه در معرض خطر، تروجان به شکل یک پنجره نوار ابزار نامرئی است. قابلیتهای تهدیدکننده آن شامل اجرای دستورات دریافتی، آپلود دادهها در سرور، دریافت جزئیات فایل و سیستم، تولید و اجرای یک اسکریپت دستهای است که Milum را از سیستم حذف میکند و همچنین در صورت انتشار نسخه جدید توسط هکرها، خود را بهروزرسانی میکند.
تروجان گارد
این تهدید بدافزار به زبان پایتون نوشته شده است و می تواند هر دو سیستم ویندوز و macOS را آلوده کند. به نظر می رسد که هنگام ایجاد آن، هکرهای WildPressure به شدت الهام گرفته و به کدهای شخص ثالث در دسترس عموم متکی بوده اند. به طور کلی، این تهدید شباهتهای زیادی با سایر ابزارهای WildPressure دارد، به خصوص در مورد سبک کدنویسی، طراحی آن و پروتکل ارتباطی C2. محققان اینفوسک معتقدند که تروجان گارد هنوز در حال توسعه فعال است.
یکی از اولین عملکردهایی که به طور خاص در دستگاههای macOS فعال میشود، تعیین اینکه آیا نمونه دیگری از تروجان قبلاً اجرا نشده است یا خیر. مکانیسم تداوم نیز به طور قابل درک متفاوت است. در دستگاه های ویندوز، تروجان یک کلید رجیستری RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system ایجاد می کند. اما برای سیستمهای macOS، Guard یک سند XML را رمزگشایی میکند و سپس یک فایل plist تولید میکند. سپس بدافزار از محتویات آن فایل در آدرس $HOME/Library/LaunchAgents/com.apple.pyapple.plist برای اجرای خودکار خود استفاده می کند. این تهدید همچنین از روش های جداگانه ای برای به دست آوردن جزئیات سیستم بسته به سیستم عامل استفاده می کند. در مورد قابلیتهای گارد میتوان به دانلود فایلهای اضافی در سیستم نقضشده، آپلود فایلهای مورد علاقه در سرور C2، اجرای دستورات، واکشی نسخه جدید یا انجام یک روال پاکسازی برای حذف آثار آن از سیستم دستور داد.
تندیس تروجان
Tandis یک تهدید VBScript خود رمزگشایی است. در مقایسه با گارد تروجان، Tandis فقط سیستمهای ویندوز را هدف قرار میدهد و به شدت به جستارهای WQL متکی است. با این حال، در غیر این صورت، عملکرد آن تا حد زیادی با گارد و سایر تهدیدات WildPressure سازگار است. از طریق رجیستریهای سیستم به ماندگاری میرسد و میتواند بهطور مخفیانه دستورات را اجرا کند، بارهای اضافی را به سیستم منتقل کند، فایلهای انتخابی را بارگذاری کند که خودش بهروزرسانی میشود، یک روال پاکسازی را اجرا کند و از هاست اثر انگشت بگیرد. به طور خاص، Tandis به دنبال تمام محصولات امنیتی نصب شده به استثنای Defender است.
پلاگین های مخرب ++C
چندین ماژول به هم پیوسته ساده که در C++ نوشته شده اند نیز کشف شده اند. آنها شامل یک ارکستراتور و چندین پلاگین هستند که وظایف خاصی را انجام می دهند. ماژول اصلی (Orchestrator) بررسی می کند که آیا یک فایل پیکربندی به نام "thumbnail.dat" در دستگاه نقض شده وجود دارد یا خیر. مکان دقیق این فایل بسته به نسخه سیستم عامل ویندوز متفاوت است. Orchestrator هر دو دقیقه اجرا می شود و فایل پیکربندی را برای اطلاعات مورد نیاز برای اجرای یک پلاگین خاص اسکن می کند.
پلاگین های خراب به شکل DLL هستند. یکی از پلاگین های کشف شده قادر است اطلاعات بسیار دقیقی در مورد سیستم از طریق پرس و جوهای WQL به دست آورد. دادههای جمعآوریشده شامل نسخه سیستمعامل، رفعهای فوری سیستمعامل، سازندگان BIOS و HDD، همه محصولات نرمافزاری نصبشده و در حال اجرا، محصولات امنیتی نصبشده و در حال اجرا، حسابهای کاربری، تنظیمات آداپتورهای شبکه و موارد دیگر است. دو پلاگین اضافی وظیفه ایجاد روال های keylogging را دارند. اولین مورد یک قلاب WH_KEYBOARD_LL تنظیم می کند و سپس می تواند ضربات کلید و همچنین رهگیری محتوای کلیپ بورد و عناوین ویندوز را بگیرد. پلاگین دیگر وظیفه گرفتن اسکرین شات از سیستم را بسته به رویدادهای تایمر و ماوس با تنظیم یک قلاب WH_MOUSE_LL بر عهده دارد.