WildPressure APT

Nel 2019, una campagna minacciosa che schierava una minaccia Trojan a tutti gli effetti contro obiettivi legati all'industria in Medio Oriente non è riuscita a eguagliare i TTP (tattiche, tecniche e procedure) degli attori delle minacce già affermati nella regione. Di conseguenza, è stato attribuito a un gruppo ATP (Advanced Persistent Threat) di nuova costituzione data la designazione WildPressure.

Da questa operazione iniziale, gli hacker sembrano aver speso molti sforzi per espandere e migliorare il loro arsenale di strumenti dannosi. In effetti, una nuova campagna che porta i segni di WildPressure sta ora implementando diverse minacce malware mai viste prima, una delle quali è in grado di compromettere i sistemi macOS. Le vittime sono ancora una volta dal Medio Oriente e con una stima provvisoria che siano legate al settore petrolifero e del gas.

WildPressure ha anche diversificato la propria infrastruttura. L'operazione del 2019 consisteva in VPS (Virtual Private Server) mentre la campagna attuale include anche diversi siti WordPress legittimi che sono stati compromessi. Tra questi ci sono "hxxp://adelice-formation[.]eu", "hxxp://ricktallis[.]com/news", "hxxp://whatismyserver123456[.]com", "hxxp://www. glisru[.]eu,' e 'hxxp://www.mozh[.]org.'

Il Milum Trojan

La minaccia Trojan originale è stata eliminata da WildPressure. È scritto in C++ e utilizza il formato JSON per i suoi dati di configurazione. Lo stesso formato è impiegato anche nella comunicazione con il server Command-and-Control (C2, C&C). L'unica crittografia osservata in Milum è RC4, ma la minaccia utilizza una chiave a 64 byte diversa per ogni vittima. Sul dispositivo compromesso, il Trojan assume la forma di una finestra della barra degli strumenti invisibile. Le sue capacità minacciose includono l'esecuzione di comandi ricevuti, il caricamento di dati sul server, l'acquisizione di dettagli su file e sistema, la generazione e l'esecuzione di uno script batch che rimuove Milum dal sistema e l'aggiornamento se viene rilasciata una nuova versione dagli hacker.

La guardia Trojan Guard

Questa minaccia malware è scritta in Python e può infettare sia i sistemi Windows che macOS. Sembra che durante la sua creazione, gli hacker di WildPressure siano stati fortemente ispirati e abbiano fatto affidamento su codice di terze parti pubblicamente disponibile. Nel complesso, la minaccia condivide molte somiglianze con gli altri strumenti WildPressure, specialmente per quanto riguarda lo stile di codifica, il suo design e il protocollo di comunicazione C2. I ricercatori di Infosec ritengono che il Guard Trojan sia ancora in fase di sviluppo attivo.

Una delle prime funzioni attivate specificamente sui dispositivi macOS è determinare se un'altra istanza del Trojan non è già in esecuzione. Anche il meccanismo di persistenza è comprensibilmente diverso. Sui dispositivi Windows, il Trojan crea una chiave di registro RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Per i sistemi macOS, tuttavia, Guard decodifica un documento XML e quindi genera un file plist. Il malware utilizza quindi il contenuto di quel file in $HOME/Library/LaunchAgents/com.apple.pyapple.plist per eseguirsi automaticamente. La minaccia utilizza anche metodi separati per ottenere dettagli sul sistema a seconda del sistema operativo. Per quanto riguarda le sue capacità, Guard può essere istruito a scaricare file aggiuntivi nel sistema violato, caricare file di interesse sul server C2, eseguire comandi, recuperare una nuova versione o eseguire una routine di pulizia per rimuovere le sue tracce dal sistema.

Il Troiano Tandis

Tandis è una minaccia VBScript che si autodecritta. Rispetto al Guard Trojan, Tandis prende di mira solo i sistemi Windows e si basa molto sulle query WQL. Tuttavia, in caso contrario, la sua funzionalità è in gran parte coerente con quella di Guard e delle altre minacce WildPressure. Raggiunge la persistenza tramite i registri di sistema ed è in grado di eseguire comandi furtivamente, rilasciare payload aggiuntivi sul sistema, caricare file scelti aggiornandosi, eseguire una routine di pulizia e rilevare le impronte digitali dell'host. Più specificamente, Tandis cerca tutti i prodotti di sicurezza installati ad eccezione di Defender.

Plugin C++ dannosi

Sono stati scoperti anche diversi moduli interconnessi semplicistici scritti in C++. Consistono in un orchestrator e diversi plugin che svolgono compiti specifici. Il modulo principale (Orchestrator) verifica se un file di configurazione denominato 'thumbnail.dat' è presente sul dispositivo violato. La posizione esatta di questo file varia a seconda della versione del sistema operativo Windows. L'orchestrator viene eseguito ogni due minuti ed esegue la scansione del file di configurazione alla ricerca delle informazioni necessarie per eseguire un plug-in specifico.

I plugin corrotti assumono la forma di DLL. Uno dei plugin scoperti è in grado di ottenere informazioni estremamente dettagliate sul sistema tramite query WQL. I dati raccolti includono la versione del sistema operativo, gli hotfix del sistema operativo installati, i produttori di BIOS e HDD, tutti i prodotti software installati e attualmente in esecuzione, prodotti di sicurezza installati e in esecuzione, account utente, impostazioni delle schede di rete e altro. Due plugin aggiuntivi hanno il compito di stabilire le routine di keylogging. Il primo imposta un hook WH_KEYBOARD_LL e può quindi catturare le sequenze di tasti, nonché intercettare il contenuto degli appunti e i titoli di Windows. L'altro plugin è responsabile dell'acquisizione di schermate del sistema in base agli eventi del timer e del mouse impostando un hook WH_MOUSE_LL.