와일드프레셔 APT

2019년에 중동의 산업 관련 표적에 대한 본격적인 트로이 목마 위협을 배포하는 위협적인 캠페인은 해당 지역에 이미 확립된 위협 행위자의 TTP(전술, 기술 및 절차)와 일치하지 않았습니다. 결과적으로 WildPressure라는 명칭이 부여된 새로 설립된 ATP(Advanced Persistent Threat) 그룹에 기인한 것입니다.

이 초기 작업 이후 해커는 유해한 도구의 무기고를 확장하고 개선하는 데 상당한 노력을 기울인 것으로 보입니다. 실제로 WildPressure의 징후가 있는 새로운 캠페인은 이제 이전에 볼 수 없었던 여러 맬웨어 위협을 배포하고 있으며 그 중 하나는 macOS 시스템을 손상시킬 수 있습니다. 희생자들은 다시 한 번 중동 출신이며 석유 및 가스 부문과 관련된 것으로 잠정 추정됩니다.

WildPressure는 인프라도 다양화했습니다. 2019년 작업은 VPS(가상 사설 서버)로 구성되었으며 현재 캠페인에는 손상된 여러 합법적인 WordPress 사이트도 포함되어 있습니다. 그 중에는 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu', 'hxxp://www.mozh[.]org.'

Milum 트로이 목마

원래의 트로이 목마 위협은 WildPressure에 의해 삭제되었습니다. C++로 작성되었으며 구성 데이터에 JSON 형식을 사용합니다. Command-and-Control(C2, C&C) 서버와의 통신에도 동일한 형식이 사용됩니다. Milum 에서 관찰된 유일한 암호화는 RC4이지만 위협은 각 피해자에 대해 다른 64바이트 키를 사용합니다. 감염된 장치에서 트로이 목마는 보이지 않는 도구 모음 창의 형태를 취합니다. 위협적인 기능에는 수신된 명령 실행, 서버에 데이터 업로드, 파일 및 시스템 세부 정보 가져오기, 시스템에서 Milum을 제거하는 배치 스크립트 생성 및 실행, 해커가 새 버전을 출시할 경우 자체 업데이트가 포함됩니다.

가드 트로이 목마

이 맬웨어 위협은 Python으로 작성되었으며 Windows 및 macOS 시스템을 모두 감염시킬 수 있습니다. WildPressure 해커는 이를 생성하는 동안 공개적으로 사용 가능한 타사 코드에 크게 영감을 받고 의존한 것으로 보입니다. 전반적으로 위협은 특히 코딩 스타일, 디자인 및 C2 통신 프로토콜과 관련하여 다른 WildPressure 도구와 상당히 많은 유사점을 공유합니다. Infosec 연구원들은 Guard Trojan이 여전히 활발히 개발되고 있다고 믿습니다.

macOS 장치에서 특별히 활성화된 첫 번째 기능 중 하나는 다른 트로이 목마 인스턴스가 이미 실행되고 있지 않은지 확인하는 것입니다. 지속성 메커니즘도 당연히 다릅니다. Windows 장치에서 트로이 목마는 RunOnce 레지스트리 키 Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system을 생성합니다. 그러나 macOS 시스템의 경우 Guard는 XML 문서를 디코딩한 다음 plist 파일을 생성합니다. 그런 다음 맬웨어는 $HOME/Library/LaunchAgents/com.apple.pyapple.plist에 있는 해당 파일의 내용을 사용하여 자동으로 실행됩니다. 이 위협은 또한 OS에 따라 시스템에 대한 세부 정보를 얻기 위해 별도의 방법을 사용합니다. 기능과 관련하여 Guard는 침해된 시스템에 추가 파일을 다운로드하고, 관심 있는 파일을 C2 서버에 업로드하고, 명령을 실행하고, 새 버전을 가져오거나, 시스템에서 추적을 제거하기 위한 정리 루틴을 수행하도록 지시할 수 있습니다.

Tandis 트로이 목마

Tandis는 자체 암호 해독 VBScript 위협입니다. Guard Trojan에 비해 Tandis는 Windows 시스템만을 대상으로 하며 WQL 쿼리에 크게 의존합니다. 그러나 그렇지 않으면 그 기능은 Guard 및 기타 WildPressure 위협의 기능과 대체로 일치합니다. 시스템 레지스트리를 통해 지속성을 달성하고 은밀하게 명령을 실행하고, 시스템에 추가 페이로드를 삭제하고, 선택한 파일을 업로드하여 자체 업데이트하고, 정리 루틴을 실행하고, 호스트에 지문을 생성할 수 있습니다. 보다 구체적으로, Tandis는 Defender를 제외하고 설치된 모든 보안 제품을 찾습니다.

악성 C++ 플러그인

C++로 작성된 여러 단순 상호 연결된 모듈도 발견되었습니다. 이들은 Orchestrator와 특정 작업을 수행하는 여러 플러그인으로 구성됩니다. 메인 모듈(오케스트레이터)은 'thumbnail.dat'라는 구성 파일이 침해된 장치에 존재하는지 확인합니다. 이 파일의 정확한 위치는 Windows OS 버전에 따라 다릅니다. Orchestrator는 2분마다 실행되고 구성 파일에서 특정 플러그인을 실행하는 데 필요한 정보를 검색합니다.

손상된 플러그인은 DLL 형식을 취합니다. 발견된 플러그인 중 하나는 WQL 쿼리를 통해 시스템에 대한 매우 자세한 정보를 얻을 수 있습니다. 수집된 데이터에는 OS 버전, 설치된 OS 핫픽스, BIOS 및 HDD 제조업체, 모든 설치 및 현재 실행 중인 소프트웨어 제품, 설치 및 실행 중인 보안 제품, 사용자 계정, 네트워크 어댑터 설정 등이 포함됩니다. 두 개의 추가 플러그인이 키로깅 루틴을 설정하는 작업을 수행합니다. 첫 번째는 WH_KEYBOARD_LL 후크를 설정한 다음 키 입력을 캡처하고 클립보드 콘텐츠와 WINdows 제목을 가로챌 수 있습니다. 다른 플러그인은 WH_MOUSE_LL 후크를 설정하여 타이머 및 마우스 이벤트에 따라 시스템의 스크린샷을 찍는 역할을 합니다.