WildPressure APT

Vuonna 2019 uhkaava kampanja, jossa käytettiin täysimittaista troijalaista uhkaa toimialaan liittyviin kohteisiin Lähi-idässä, ei onnistunut vastaamaan alueella jo vakiintuneiden uhkatoimijoiden TTP:itä (Tactics, Techniques ja Procedures). Tämän seurauksena se katsottiin vasta perustetulle ATP-ryhmälle (Advanced Persistent Threat), jolle annettiin nimi WildPressure.

Tämän alkuvaiheen jälkeen hakkerit näyttävät käyttäneen melko paljon vaivaa laajentaakseen ja parantaakseen haitallisten työkalujensa arsenaalia. Uusi WildPressuren merkkejä kantava kampanja todellakin ottaa käyttöön useita ennennäkemättömiä haittaohjelmauhkia, joista yksi pystyy vaarantamaan macOS-järjestelmiä. Uhrit ovat jälleen Lähi-idästä, ja alustavan arvion mukaan he liittyvät öljy- ja kaasusektoriin.

WildPressure on myös monipuolistanut infrastruktuuriaan. Vuoden 2019 toiminta koostui VPS:stä (Virtual Private Servers), kun taas nykyinen kampanja sisältää myös useita laillisia WordPress-sivustoja, jotka ovat vaarantuneet. Niitä ovat "hxxp://adelice-formation[.]eu", "hxxp://ricktallis[.]com/news", "hxxp://whatismyserver123456[.]com", "hxxp://www. glisru[.]eu" ja "hxxp://www.mozh[.]org."

Milum Trojan

WildPressure hylkäsi alkuperäisen troijalaisen uhan. Se on kirjoitettu C++-kielellä ja käyttää JSON-muotoa asetustiedoissaan. Samaa muotoa käytetään myös viestinnässä Command-and-Control (C2, C&C) -palvelimen kanssa. Ainoa Milumissa havaittu salaus on RC4, mutta uhka käyttää erilaista 64-tavuista avainta jokaiselle uhrille. Vaarallisen laitteen troijalainen on näkymätön työkalupalkki-ikkuna. Sen uhkaaviin ominaisuuksiin kuuluu vastaanotettujen komentojen suorittaminen, tietojen lataaminen palvelimelle, tiedostojen ja järjestelmätietojen saaminen, Milumin järjestelmästä poistavan eräkomentosarjan luominen ja suorittaminen sekä itsensä päivittäminen, jos hakkerit julkaisevat uuden version.

Guard Troijalainen

Tämä haittaohjelmauhka on kirjoitettu Pythonissa ja voi tartuttaa sekä Windows- että macOS-järjestelmiä. Näyttää siltä, että WildPressure-hakkerit olivat sitä luodessaan vahvasti inspiroituneita ja luottivat julkisesti saatavilla olevaan kolmannen osapuolen koodiin. Kaiken kaikkiaan uhalla on melko paljon yhtäläisyyksiä muiden WildPressure-työkalujen kanssa, etenkin mitä tulee koodaustyyliin, sen suunnitteluun ja C2-viestintäprotokollaan. Infosecin tutkijat uskovat, että Guard Troijalainen on edelleen aktiivisen kehityksen alla.

Yksi ensimmäisistä macOS-laitteissa aktivoiduista toiminnoista on määrittää, eikö toinen troijalaisen esiintymä ole jo käynnissä. Pysyvyysmekanismi on myös ymmärrettävästi erilainen. Windows-laitteissa troijalainen luo RunOnce-rekisteriavaimen Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. MacOS-järjestelmissä Guard kuitenkin purkaa XML-dokumentin ja luo sitten plist-tiedoston. Haittaohjelma käyttää sitten tiedoston sisältöä osoitteessa $HOME/Library/LaunchAgents/com.apple.pyapple.plist suorittaakseen itsensä automaattisesti. Uhka käyttää myös erillisiä menetelmiä järjestelmän tietojen saamiseksi käyttöjärjestelmästä riippuen. Mitä tulee sen ominaisuuksiin, Guard voidaan ohjeistaa lataamaan lisää tiedostoja rikkoutuneeseen järjestelmään, lataamaan kiinnostavia tiedostoja C2-palvelimelle, suorittamaan komentoja, hakemaan uusi versio tai suorittamaan puhdistusrutiinin jälkien poistamiseksi järjestelmästä.

Tandis Trojan

Tandis on itsesalauksen purkava VBScript-uhka. Guard Troijalaiseen verrattuna Tandis kohdistaa vain Windows-järjestelmiin ja luottaa voimakkaasti WQL-kyselyihin. Muuten sen toiminnallisuus on kuitenkin suurelta osin yhdenmukainen Guardin ja muiden WildPressure-uhkien kanssa. Se saavuttaa pysyvyyden järjestelmän rekisterien kautta ja pystyy suorittamaan salaa komentoja, pudottamaan ylimääräisiä hyötykuormia järjestelmään, lataamaan valitut tiedostot päivittämään itsensä, suorittamaan puhdistusrutiinin ja ottamaan isännästä sormenjäljet. Tarkemmin sanottuna Tandis etsii kaikkia asennettuja tietoturvatuotteita Defenderiä lukuun ottamatta.

Haitalliset C++-laajennukset

Myös useita C++-kielellä kirjoitettuja yksinkertaisia toisiinsa yhdistettyjä moduuleja on löydetty. Ne koostuvat Orchestratorista ja useista laajennuksista, jotka suorittavat tiettyjä tehtäviä. Päämoduuli (Orchestrator) tarkistaa, onko rikkoutuneessa laitteessa konfiguraatiotiedosto nimeltä "thumbnail.dat". Tämän tiedoston tarkka sijainti vaihtelee Windows-käyttöjärjestelmän version mukaan. Orchestrator toimii kahden minuutin välein ja etsii määritystiedostosta tarvittavat tiedot tietyn laajennuksen suorittamiseksi.

Vioittuneet laajennukset ovat DLL-muotoisia. Yksi löydetyistä laajennuksista pystyy saamaan erittäin yksityiskohtaista tietoa järjestelmästä WQL-kyselyiden kautta. Kerätyt tiedot sisältävät käyttöjärjestelmän version, asennetut käyttöjärjestelmän hotfix-korjaukset, BIOS- ja HDD-valmistajat, kaikki asennetut ja käynnissä olevat ohjelmistotuotteet, asennetut ja käynnissä olevat tietoturvatuotteet, käyttäjätilit, verkkosovittimen asetukset ja paljon muuta. Kahden lisälaajennuksen tehtävänä on luoda näppäinkirjausrutiineja. Ensimmäinen asettaa WH_KEYBOARD_LL-koukun ja voi sitten kaapata näppäinpainalluksia sekä siepata leikepöydän sisältöä ja WIndows-otsikoita. Toinen liitännäinen on vastuussa kuvakaappausten ottamisesta järjestelmästä ajastimen ja hiiren tapahtumista riippuen asettamalla WH_MOUSE_LL-koukun.