WildPressure APT

Još 2019. godine prijeteća kampanja koja je implementirala potpunu trojansku prijetnju protiv ciljeva povezanih s industrijom na Bliskom istoku nije se uspjela podudarati s TTP-ovima (taktike, tehnike i procedure) već uspostavljenih aktera prijetnji u regiji. Kao rezultat toga, pripisan je novoosnovanoj ATP (Advanced Persistent Threat) skupini koja je dobila oznaku WildPressure.

Od ove početne operacije, čini se da su hakeri uložili dosta truda u proširenje i poboljšanje svog arsenala štetnih alata. Doista, nova kampanja koja nosi znakove WildPressurea sada postavlja nekoliko dosad neviđenih prijetnji zlonamjernog softvera, od kojih je jedna sposobna kompromitirati macOS sustave. Žrtve su ponovno s Bliskog istoka i uz probnu procjenu da su povezane s naftnim i plinskim sektorom.

WildPressure je također diverzificirao svoju infrastrukturu. Operacija 2019. se sastojala od VPS-a (virtualnih privatnih poslužitelja), dok trenutna kampanja također uključuje nekoliko legitimnih WordPress stranica koje su kompromitirane. Među njima su 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu," i "hxxp://www.mozh[.]org."

Milum Trojan

WildPressure je odbacio izvornu trojansku prijetnju. Napisan je u C++ i koristi JSON format za svoje konfiguracijske podatke. Isti format također se koristi u komunikaciji s poslužiteljem za upravljanje i upravljanje (C2, C&C). Jedina enkripcija uočena u Milumu je RC4, ali prijetnja koristi drugačiji ključ od 64 bajta za svaku žrtvu. Na kompromitiranom uređaju trojanac ima oblik nevidljivog prozora alatne trake. Njegove prijeteće mogućnosti uključuju izvršavanje primljenih naredbi, učitavanje podataka na poslužitelj, dobivanje podataka o datoteci i sustavu, generiranje i izvršavanje skupne skripte koja uklanja Milum iz sustava, kao i samo ažuriranje ako hakeri objave novu verziju.

Guard Trojanac

Ova prijetnja zlonamjernim softverom napisana je na Pythonu i može zaraziti i Windows i macOS sustave. Čini se da su dok su ga stvarali, hakeri WildPressurea bili jako inspirirani i oslanjali se na javno dostupan kod treće strane. Općenito, prijetnja dijeli dosta sličnosti s drugim WildPressure alatima, posebno kada je u pitanju stil kodiranja, njegov dizajn i C2 komunikacijski protokol. Infosec istraživači vjeruju da je Guard Trojan još uvijek u aktivnom razvoju.

Jedna od prvih funkcija aktiviranih posebno na macOS uređajima je utvrđivanje ne radi li se neka druga instanca trojanca. Mehanizam postojanosti je razumljivo također drugačiji. Na Windows uređajima, trojanac stvara ključ registra RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Za macOS sustave, međutim, Guard dekodira XML dokument, a zatim generira plist datoteku. Zlonamjerni softver zatim koristi sadržaj te datoteke na adresi $HOME/Library/LaunchAgents/com.apple.pyapple.plist da se automatski pokrene. Prijetnja također koristi zasebne metode za dobivanje detalja o sustavu ovisno o OS-u. Što se tiče njegovih mogućnosti, Guard se može uputiti da preuzme dodatne datoteke u probijeni sustav, prenese datoteke od interesa na C2 poslužitelj, izvrši naredbe, dohvati novu verziju ili izvrši rutinu čišćenja kako bi uklonio svoje tragove iz sustava.

Tandis Trojan

Tandis je samodešifrirajuća VBScript prijetnja. U usporedbi s Guard Trojancem, Tandis cilja samo na Windows sustave i uvelike se oslanja na WQL upite. Međutim, inače, njegova je funkcionalnost u velikoj mjeri konzistentna s onom Guard-a i ostalih prijetnji WildPressure-a. Postiže postojanost putem registara sustava i sposoban je potajno izvršavati naredbe, ispuštati dodatni teret u sustav, učitavati odabrane datoteke i sam se ažurirati, izvoditi rutinu čišćenja i uzimati otiske prstiju s hosta. Točnije, Tandis traži sve instalirane sigurnosne proizvode s izuzetkom Defendera.

Zlonamjerni C++ dodaci

Također je otkriveno nekoliko pojednostavljenih međusobno povezanih modula napisanih u C++. Sastoje se od Orkestratora i nekoliko dodataka koji obavljaju određene zadatke. Glavni modul (Orchestrator) provjerava je li konfiguracijska datoteka pod nazivom 'thumbnail.dat' prisutna na oštećenom uređaju. Točna lokacija ove datoteke ovisi o verziji operacijskog sustava Windows. Orchestrator se pokreće svake dvije minute i skenira konfiguracijsku datoteku u potrazi za potrebnim informacijama za izvođenje određenog dodatka.

Oštećeni dodaci imaju oblik DLL-ova. Jedan od otkrivenih dodataka sposoban je dobiti iznimno detaljne informacije o sustavu putem WQL upita. Prikupljeni podaci uključuju verziju OS-a, instalirane hitne popravke OS-a, proizvođače BIOS-a i HDD-a, sve instalirane i trenutno pokrenute softverske proizvode, instalirane i pokrenute sigurnosne proizvode, korisničke račune, postavke mrežnih adaptera i još mnogo toga. Dva dodatna dodatka imaju zadatak da uspostave rutine keylogginga. Prvi postavlja zakačicu WH_KEYBOARD_LL i zatim može uhvatiti pritiske tipki, kao i presresti sadržaj međuspremnika i naslove WIndows. Drugi dodatak je odgovoran za snimanje zaslona sustava ovisno o događajima timera i miša postavljanjem WH_MOUSE_LL kuke.