WildPressure APT

Még 2019-ben egy fenyegető kampány, amely egy teljes értékű trójai fenyegetést telepített a közel-keleti iparággal kapcsolatos célpontok ellen, nem érte el a térségben már kialakult fenyegetési szereplők TTP-jét (Tactics, Techniques és Procedures). Ennek eredményeként egy újonnan létrehozott ATP (Advanced Persistent Threat) csoportnak tulajdonították, amely a WildPressure elnevezést kapta.

A kezdeti művelet óta úgy tűnik, hogy a hackerek meglehetősen sok erőfeszítést tettek a káros eszközök arzenáljának bővítésére és javítására. Valójában egy új, a WildPressure jeleit viselő kampány mostanra számos korábban nem látott rosszindulatú fenyegetést telepít, amelyek közül az egyik képes a macOS rendszereket veszélyeztetni. Az áldozatok ismét a Közel-Keletről származnak, és az előzetes becslések szerint az olaj- és gázszektorhoz kapcsolódnak.

A WildPressure infrastruktúráját is diverzifikálta. A 2019-es művelet VPS-ből (Virtual Private Servers) állt, míg a jelenlegi kampány több legitim WordPress webhelyet is tartalmaz, amelyeket feltörtek. Ezek közé tartozik a „hxxp://adelice-formation[.]eu”, „hxxp://ricktallis[.]com/news”, „hxxp://whatismyserver123456[.]com”, „hxxp://www. glisru[.]eu," és "hxxp://www.mozh[.]org."

A Milum trójai

Az eredeti trójai fenyegetést a WildPressure elvetette. C++ nyelven íródott, és a konfigurációs adatokhoz a JSON formátumot használja. Ugyanezt a formátumot használják a Command-and-Control (C2, C&C) szerverrel való kommunikációban is. A Milumban megfigyelt egyetlen titkosítás az RC4, de a fenyegetés minden áldozathoz más 64 bájtos kulcsot használ. A feltört eszközön a trójai egy láthatatlan eszköztár-ablak formáját ölti. Fenyegető képességei közé tartozik a kapott parancsok végrehajtása, az adatok feltöltése a szerverre, a fájlok és a rendszer részleteinek lekérése, egy kötegelt szkript generálása és végrehajtása, amely eltávolítja a Milumot a rendszerből, valamint frissíti magát, ha új verziót adnak ki a hackerek.

Az őr trójai

Ez a rosszindulatú program Python nyelven íródott, és megfertőzheti a Windows és a MacOS rendszereket is. Úgy tűnik, hogy a létrehozása során a WildPressure hackereket erősen inspirálták, és nyilvánosan elérhető, harmadik féltől származó kódra hagyatkoztak. Összességében a fenyegetés nagyon sok hasonlóságot mutat a többi WildPressure eszközzel, különösen ami a kódolási stílust, a tervezést és a C2 kommunikációs protokollt illeti. Az Infosec kutatói úgy vélik, hogy a Guard Trojan még mindig aktív fejlesztés alatt áll.

A kifejezetten macOS-eszközökön aktivált első funkciók egyike annak meghatározása, hogy nem fut-e már a trójai másik példánya. A perzisztencia mechanizmusa is érthető módon más. Windows-eszközökön a trójai létrehoz egy RunOnce rendszerleíró kulcsot Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. MacOS rendszerek esetén azonban a Guard dekódol egy XML-dokumentumot, majd létrehoz egy plist fájlt. A rosszindulatú program ezután a $HOME/Library/LaunchAgents/com.apple.pyapple.plist címen található fájl tartalmát használja, hogy automatikusan lefusson. A fenyegetés az operációs rendszertől függően külön módszereket is alkalmaz a rendszerrel kapcsolatos részletek megszerzésére. Ami a képességeit illeti, a Guard utasítható további fájlok letöltésére a feltört rendszerre, érdekes fájlok feltöltésére a C2 szerverre, parancsok végrehajtására, új verzió lekérésére vagy tisztítási rutin végrehajtására, hogy eltávolítsa a nyomait a rendszerből.

A Tandis trójai

A Tandis egy önmegfejtő VBScript fenyegetés. A Guard Trojanhoz képest a Tandis csak Windows rendszereket céloz meg, és nagymértékben támaszkodik a WQL lekérdezésekre. Ennek ellenére működése nagyrészt összhangban van a Guard és a többi WildPressure fenyegetés funkciójával. A rendszerleíró adatbázisokon keresztül éri el a kitartást, és képes a parancsok lopakodó végrehajtására, további rakományok leadására a rendszerre, a kiválasztott fájlok feltöltésére, frissítve magát, tisztító rutin futtatására és a gazdagép ujjlenyomatának levételére. Pontosabban, a Tandis minden telepített biztonsági terméket keres, kivéve a Defendert.

Rosszindulatú C++ beépülő modulok

Számos C++ nyelven írt, leegyszerűsített, egymással összekapcsolt modult is felfedeztek. Ezek egy Orchestratorból és több, meghatározott feladatokat ellátó beépülő modulból állnak. A fő modul (Orchestrator) ellenőrzi, hogy van-e 'thumbnail.dat' nevű konfigurációs fájl a feltört eszközön. A fájl pontos helye a Windows operációs rendszer verziójától függően változik. Az Orchestrator kétpercenként fut, és átvizsgálja a konfigurációs fájlt, hogy megtalálja a szükséges információkat egy adott beépülő modul végrehajtásához.

A sérült beépülő modulok DLL-ek formájában jelennek meg. Az egyik felfedezett plugin WQL lekérdezéseken keresztül rendkívül részletes információkat tud szerezni a rendszerről. Az összegyűjtött adatok magukban foglalják az operációs rendszer verzióját, a telepített operációs rendszer gyorsjavításait, a BIOS és a HDD gyártóit, az összes telepített és jelenleg futó szoftverterméket, telepített és futó biztonsági termékeket, felhasználói fiókokat, hálózati adapterek beállításait és még sok mást. Két további beépülő modul feladata a billentyűnaplózási rutinok létrehozása. Az első beállít egy WH_KEYBOARD_LL horgot, majd rögzítheti a billentyűleütéseket, valamint elfoghatja a vágólap tartalmát és a WIndows címeit. A másik beépülő modul felelős a képernyőképek készítéséért a rendszerről az időzítő és az egér eseményeitől függően egy WH_MOUSE_LL hook beállításával.