WildPressure APT

עוד ב-2019, מסע פרסום מאיים שהציב איום טרויאני מן המניין נגד יעדים הקשורים לתעשייה במזרח התיכון לא הצליח להתאים את ה-TTPs (טקטיקות, טכניקות ונהלים) של גורמי האיום שכבר הוקמה באזור. כתוצאה מכך, הוא יוחס לקבוצת ATP (Advanced Persistent Threat) שהוקמה לאחרונה, שקיבלה את הכינוי WildPressure.

מאז הפעולה הראשונית הזו, נראה שההאקרים השקיעו לא מעט מאמצים להרחיב ולשפר את ארסנל הכלים המזיקים שלהם. ואכן, מסע פרסום חדש הנושא את הסימנים של WildPressure פורס כעת כמה איומי תוכנות זדוניות שטרם נראו, שאחד מהם מסוגל לסכן מערכות macOS. הקורבנות הם שוב מהמזרח התיכון ועם הערכה טנטטיבית שהם קשורים למגזר הנפט והגז.

WildPressure גיוונה גם את התשתית שלה. פעולת 2019 כללה VPS (שרתים וירטואליים פרטיים) בעוד שהקמפיין הנוכחי כולל גם כמה אתרי וורדפרס לגיטימיים שנפגעו. ביניהם 'hxxp://adelice-formation[.]eu', 'hxxp://ricktallis[.]com/news', 'hxxp://whatismyserver123456[.]com', 'hxxp://www. glisru[.]eu,' ו-'hxxp://www.mozh[.]org.'

Milum טרויאני

האיום הטרויאני המקורי הוסר על ידי WildPressure. הוא כתוב ב-C++ ומשתמש בפורמט JSON עבור נתוני התצורה שלו. אותו פורמט מופעל גם בתקשורת עם שרת הפקודה והבקרה (C2, C&C). ההצפנה היחידה שנצפתה במילום היא RC4 אך האיום משתמש במפתח שונה של 64 בתים עבור כל קורבן. במכשיר שנפגע, הטרויאני מקבל צורה של חלון סרגל כלים בלתי נראה. היכולות המאיימות שלו כוללות ביצוע פקודות שהתקבלו, העלאת נתונים לשרת, קבלת פרטי קבצים ומערכת, יצירה וביצוע של סקריפט אצווה שמסיר את מילום מהמערכת וכן עדכון עצמו במידה וגרסה חדשה יוצאת על ידי ההאקרים.

הטרויאני של המשמר

איום תוכנה זדונית זה כתוב ב-Python ויכול להדביק גם מערכות Windows וגם macOS. נראה שבזמן יצירתו, ההאקרים של WildPressure קיבלו השראה רבה והסתמכו על קוד צד שלישי זמין לציבור. בסך הכל האיום חולק די הרבה קווי דמיון עם הכלים האחרים של WildPressure במיוחד בכל הנוגע לסגנון הקידוד, העיצוב שלו ופרוטוקול התקשורת C2. חוקרי Infosec מאמינים שהטרויאני של המשמר עדיין בפיתוח פעיל.

אחת הפונקציות הראשונות שהופעלו במיוחד במכשירי macOS היא לקבוע אם מופע אחר של הטרויאני אינו פועל כבר. מנגנון ההתמדה שונה כמובן. במכשירי Windows, הטרויאני יוצר מפתח רישום RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. עם זאת, עבור מערכות macOS, Guard מפענח מסמך XML ולאחר מכן יוצר קובץ plist. לאחר מכן, התוכנה הזדונית משתמשת בתוכן של קובץ זה ב-$HOME/Library/LaunchAgents/com.apple.pyapple.plist כדי להפעיל את עצמו באופן אוטומטי. האיום גם משתמש בשיטות נפרדות לקבלת פרטים על המערכת בהתאם למערכת ההפעלה. באשר ליכולותיה, ניתן להורות ל-Guard להוריד קבצים נוספים למערכת הנפרצה, להעלות קבצים מעניינים לשרת C2, לבצע פקודות, להביא גרסה חדשה או לבצע שגרת ניקוי להסרת עקבותיה מהמערכת.

Tandis טרויאני

טנדיס הוא איום VBScript מפענח עצמי. בהשוואה ל-Guard Trojan, Tandis מתמקד רק במערכות Windows ומסתמך במידה רבה על שאילתות WQL. עם זאת, אחרת, הפונקציונליות שלו תואמת במידה רבה את זו של Guard ושאר איומי WildPressure. הוא משיג התמדה באמצעות רישום מערכת ומסוגל לבצע בחשאי פקודות, להוריד עומסים נוספים למערכת, להעלות קבצים נבחרים מעדכנים את עצמם, להפעיל שגרת ניקוי ולהטביע טביעות אצבע של המארח. ליתר דיוק, טנדיס מחפשת את כל מוצרי האבטחה המותקנים למעט Defender.

תוספים זדוניים של C++

התגלו גם כמה מודולים מחוברים פשטניים שנכתבו ב-C++. הם מורכבים מתזמורת ומספר תוספים המבצעים משימות ספציפיות. המודול הראשי (Orchestrator) בודק אם קובץ תצורה בשם 'thumbnail.dat' קיים במכשיר הפרוץ. המיקום המדויק של קובץ זה משתנה בהתאם לגרסה של מערכת ההפעלה Windows. התזמורטור פועל כל שתי דקות וסורק את קובץ התצורה לאיתור המידע הנדרש לביצוע תוסף ספציפי.

התוספים הפגומים לובשים צורה של DLL. אחד התוספים שהתגלו מסוגל להשיג מידע מפורט ביותר על המערכת באמצעות שאילתות WQL. הנתונים שנאספו כוללים את גרסת מערכת ההפעלה, תיקוני מערכת הפעלה חמים מותקנים, יצרני BIOS ו-HDD, כל מוצרי התוכנה המותקנים ופועלים כעת, מוצרי אבטחה מותקנים ומופעלים, חשבונות משתמש, הגדרות מתאמי רשת ועוד. שני תוספים נוספים מופקדים על הקמת שגרות רישום מקשים. הראשון מגדיר הוק WH_KEYBOARD_LL ואז יכול ללכוד הקשות כמו גם ליירט תוכן לוח וכותרות של Windows. התוסף השני אחראי לצילום מסך של המערכת בהתאם לאירועי טיימר ועכבר על ידי הגדרת וו WH_MOUSE_LL.