WildPressure APT

2019 में वापस, मध्य पूर्व में उद्योग से संबंधित लक्ष्यों के खिलाफ पूरी तरह से ट्रोजन खतरे को तैनात करने वाला एक धमकी भरा अभियान इस क्षेत्र में पहले से स्थापित खतरे वाले अभिनेताओं के टीटीपी (रणनीति, तकनीक और प्रक्रिया) से मेल खाने में विफल रहा। नतीजतन, इसे एक नए स्थापित एटीपी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के लिए जिम्मेदार ठहराया गया था जिसे पदनाम वाइल्डप्रेशर दिया गया था।

इस प्रारंभिक ऑपरेशन के बाद से, हैकर्स ने हानिकारक उपकरणों के अपने शस्त्रागार के विस्तार और सुधार में काफी प्रयास किए हैं। दरअसल, वाइल्डप्रेशर के संकेतों वाला एक नया अभियान अब कई पहले कभी नहीं देखे गए मैलवेयर खतरों को तैनात कर रहा है, जिनमें से एक macOS सिस्टम से समझौता करने में सक्षम है। पीड़ित एक बार फिर मध्य पूर्व से हैं और उनके तेल और गैस क्षेत्र से संबंधित होने का एक संभावित अनुमान है।

वाइल्डप्रेशर ने भी अपने बुनियादी ढांचे में विविधता लाई है। 2019 के ऑपरेशन में VPS (वर्चुअल प्राइवेट सर्वर) शामिल थे, जबकि वर्तमान अभियान में कई वैध वर्डप्रेस साइटें भी शामिल हैं जिनसे समझौता किया गया है। उनमें से हैं 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' और 'hxxp://www.mozh[.]org.'

Milum ट्रोजन

वाइल्डप्रेशर द्वारा मूल ट्रोजन खतरे को हटा दिया गया था। यह C++ में लिखा गया है और इसके कॉन्फ़िगरेशन डेटा के लिए JSON प्रारूप का उपयोग करता है। कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ संचार में भी यही प्रारूप कार्यरत है। मिलम में देखा गया एकमात्र एन्क्रिप्शन आरसी 4 है लेकिन खतरा प्रत्येक पीड़ित के लिए एक अलग 64-बाइट कुंजी का उपयोग करता है। समझौता किए गए डिवाइस पर, ट्रोजन एक अदृश्य टूलबार विंडो का रूप ले लेता है। इसकी खतरनाक क्षमताओं में प्राप्त आदेशों को निष्पादित करना, सर्वर पर डेटा अपलोड करना, फ़ाइल और सिस्टम विवरण प्राप्त करना, एक बैच स्क्रिप्ट बनाना और निष्पादित करना शामिल है जो सिस्टम से मिलम को हटा देता है और साथ ही हैकर्स द्वारा एक नया संस्करण जारी किए जाने पर खुद को अपडेट करना शामिल है।

गार्ड ट्रोजन

यह मैलवेयर खतरा पायथन में लिखा गया है और यह विंडोज और मैकओएस सिस्टम दोनों को संक्रमित कर सकता है। ऐसा लगता है कि इसे बनाते समय, वाइल्डप्रेशर हैकर्स सार्वजनिक रूप से उपलब्ध तृतीय-पक्ष कोड पर बहुत अधिक प्रेरित और निर्भर थे। कुल मिलाकर खतरा अन्य वाइल्डप्रेशर टूल्स के साथ काफी समानताएं साझा करता है, खासकर जब कोडिंग शैली, इसके डिजाइन और सी 2 संचार प्रोटोकॉल की बात आती है। इन्फोसेक के शोधकर्ताओं का मानना है कि गार्ड ट्रोजन अभी भी सक्रिय विकास के अधीन है।

विशेष रूप से macOS उपकरणों पर सक्रिय किए गए पहले कार्यों में से एक यह निर्धारित करना है कि क्या ट्रोजन का एक और उदाहरण पहले से नहीं चल रहा है। दृढ़ता तंत्र भी स्पष्ट रूप से अलग है। Windows उपकरणों पर, ट्रोजन एक RunOnce रजिस्ट्री कुंजी Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system बनाता है। हालाँकि, macOS सिस्टम के लिए, गार्ड एक XML दस्तावेज़ को डिकोड करता है और फिर एक प्लिस्ट फ़ाइल बनाता है। मैलवेयर तब उस फ़ाइल की सामग्री का उपयोग $HOME/Library/LaunchAgents/com.apple.pyapple.plist पर स्वचालित रूप से चलाने के लिए करता है। ओएस के आधार पर सिस्टम के बारे में विवरण प्राप्त करने के लिए खतरा अलग-अलग तरीकों को भी नियोजित करता है। अपनी क्षमताओं के लिए, गार्ड को निर्देश दिया जा सकता है कि वह भंग सिस्टम में अतिरिक्त फाइलें डाउनलोड करें, C2 सर्वर पर रुचि की फाइलें अपलोड करें, कमांड निष्पादित करें, एक नया संस्करण प्राप्त करें, या सिस्टम से इसके निशान हटाने के लिए क्लीनअप रूटीन करें।

Tandis ट्रोजन

टंडिस एक स्व-डिक्रिप्टिंग वीबीस्क्रिप्ट खतरा है। गार्ड ट्रोजन की तुलना में, टंडिस केवल विंडोज सिस्टम को लक्षित करता है और WQL प्रश्नों पर बहुत अधिक निर्भर करता है। हालांकि, अन्यथा, इसकी कार्यक्षमता काफी हद तक गार्ड और अन्य वाइल्डप्रेशर खतरों के अनुरूप है। यह सिस्टम रजिस्ट्रियों के माध्यम से दृढ़ता प्राप्त करता है और चुपके से कमांड निष्पादित करने, सिस्टम में अतिरिक्त पेलोड छोड़ने, चुनी हुई फाइलों को अपडेट करने, क्लीनअप रूटीन चलाने और होस्ट को फिंगरप्रिंटिंग करने में सक्षम है। अधिक विशेष रूप से, टंडिस डिफेंडर के अपवाद के साथ सभी स्थापित सुरक्षा उत्पादों की तलाश करता है।

दुर्भावनापूर्ण C++ प्लगइन्स

C++ में लिखे गए कई सरलीकृत इंटरकनेक्टेड मॉड्यूल भी खोजे गए हैं। इनमें एक ऑर्केस्ट्रेटर और विशिष्ट कार्य करने वाले कई प्लगइन्स शामिल हैं। मुख्य मॉड्यूल (ऑर्केस्ट्रेटर) जांचता है कि भंग डिवाइस पर 'थंबनेल.डेट' नाम की कॉन्फ़िगरेशन फ़ाइल मौजूद है या नहीं। इस फ़ाइल का सटीक स्थान विंडोज ओएस के संस्करण के आधार पर भिन्न होता है। ऑर्केस्ट्रेटर हर दो मिनट में चलता है और एक विशिष्ट प्लगइन को निष्पादित करने के लिए आवश्यक जानकारी के लिए कॉन्फ़िगरेशन फ़ाइल को स्कैन करता है।

दूषित प्लगइन्स डीएलएल का रूप लेते हैं। खोजे गए प्लगइन्स में से एक WQL प्रश्नों के माध्यम से सिस्टम के बारे में अत्यंत विस्तृत जानकारी प्राप्त करने में सक्षम है। एकत्रित डेटा में OS संस्करण, स्थापित OS हॉटफिक्सेस, BIOS और HDD निर्माता, सभी स्थापित और वर्तमान में चल रहे सॉफ़्टवेयर उत्पाद, स्थापित और चल रहे सुरक्षा उत्पाद, उपयोगकर्ता खाते, नेटवर्क एडेप्टर सेटिंग्स और बहुत कुछ शामिल हैं। दो अतिरिक्त प्लगइन्स को कीलॉगिंग रूटीन स्थापित करने का काम सौंपा गया है। पहला वाला WH_KEYBOARD_LL हुक सेट करता है और फिर कीस्ट्रोक्स को कैप्चर कर सकता है और साथ ही क्लिपबोर्ड सामग्री और विन्डोज़ टाइटल को इंटरसेप्ट कर सकता है। अन्य प्लगइन WH_MOUSE_LL हुक सेट करके टाइमर और माउस ईवेंट के आधार पर सिस्टम के स्क्रीनशॉट लेने के लिए ज़िम्मेदार है।