WildPressure APT
2019 m. vykusi grėsminga kampanija, kuria buvo dislokuota visavertė Trojos grėsmė prieš su pramone susijusius objektus Artimuosiuose Rytuose, neatitiko regione jau nusistovėjusių grėsmės veikėjų TTP (taktikos, technikos ir procedūrų). Dėl to jis buvo priskirtas naujai įsteigtai ATP (Advanced Persistent Threat) grupei, kuriai suteiktas pavadinimas WildPressure.
Atrodo, kad nuo šios pradinės operacijos įsilaužėliai įdėjo daug pastangų, kad išplėstų ir tobulintų savo kenksmingų įrankių arsenalą. Iš tiesų, nauja kampanija, turinti „WildPressure“ ženklus, dabar diegia keletą niekada anksčiau nematytų kenkėjiškų programų grėsmių, iš kurių viena gali pažeisti „MacOS“ sistemas. Aukos vėl yra iš Artimųjų Rytų ir preliminariai manoma, kad jos yra susijusios su naftos ir dujų sektoriumi.
„WildPressure“ taip pat paįvairino savo infrastruktūrą. 2019 m. operaciją sudarė VPS (virtualūs privatūs serveriai), o dabartinė kampanija taip pat apima keletą teisėtų „WordPress“ svetainių, kurioms buvo pakenkta. Tarp jų yra „hxxp://adelice-formation[.]eu“, „hxxp://ricktallis[.]com/news“, „hxxp://whatismyserver123456[.]com“, „hxxp://www. glisru[.]eu“ ir „hxxp://www.mozh[.]org.“
Milum Trojos
Originalią Trojos arklių grėsmę pašalino „WildPressure“. Jis parašytas C++ ir konfigūracijos duomenims naudoja JSON formatą. Tas pats formatas taip pat naudojamas bendraujant su Command-and-Control (C2, C&C) serveriu. Vienintelis „ Milum“ pastebėtas šifravimas yra RC4, tačiau grėsmė kiekvienai aukai naudoja skirtingą 64 baitų raktą. Pažeistame įrenginyje Trojos arklys yra nematomo įrankių juostos lango pavidalu. Jo grėsmingos galimybės apima gautų komandų vykdymą, duomenų įkėlimą į serverį, failų ir sistemos detalių gavimą, paketinio scenarijaus generavimą ir vykdymą, kuris pašalina „Milum“ iš sistemos, taip pat savęs atnaujinimą, jei įsilaužėliai išleidžia naują versiją.
Sargybinis Trojos arklys
Ši kenkėjiškų programų grėsmė parašyta Python ir gali užkrėsti tiek Windows, tiek MacOS sistemas. Atrodo, kad kurdami jį, „WildPressure“ įsilaužėliai buvo labai įkvėpti ir rėmėsi viešai prieinamu trečiosios šalies kodu. Apskritai grėsmė turi daug panašumų su kitais WildPressure įrankiais, ypač kai kalbama apie kodavimo stilių, jo dizainą ir C2 ryšio protokolą. „Infosec“ tyrėjai mano, kad „Guard Trojan“ vis dar aktyviai kuriama.
Viena iš pirmųjų funkcijų, suaktyvintų būtent „macOS“ įrenginiuose, yra nustatyti, ar dar neveikia kitas Trojos arklys. Suprantama, kad patvarumo mechanizmas taip pat skiriasi. Windows įrenginiuose Trojos arklys sukuria RunOnce registro raktą Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Tačiau „macOS“ sistemoms „Guard“ dekoduoja XML dokumentą ir sugeneruoja plist failą. Tada kenkėjiška programa naudoja to failo turinį, esantį $HOME/Library/LaunchAgents/com.apple.pyapple.plist, kad pati paleistų save. Grėsmė taip pat naudoja atskirus metodus informacijai apie sistemą gauti, priklausomai nuo OS. Kalbant apie savo galimybes, „Guard“ gali būti nurodyta atsisiųsti papildomus failus į pažeistą sistemą, įkelti dominančius failus į C2 serverį, vykdyti komandas, gauti naują versiją arba atlikti valymo procedūrą, kad pašalintų jos pėdsakus iš sistemos.
Tandis Trojos
Tandis yra savaime iššifruojanti VBScript grėsmė. Palyginti su Guard Trojan, Tandis taikosi tik į Windows sistemas ir labai priklauso nuo WQL užklausų. Tačiau kitu atveju jo funkcionalumas iš esmės atitinka „Guard“ ir kitų „WildPressure“ grėsmių funkcijas. Jis užtikrina patvarumą per sistemos registrus ir gali slaptai vykdyti komandas, numesti papildomus naudingus krovinius į sistemą, įkelti pasirinktus failus, atnaujindamas save, paleisti valymo procedūrą ir paimti pagrindinio kompiuterio pirštų atspaudus. Tiksliau, Tandis ieško visų įdiegtų saugos produktų, išskyrus „Defender“.
Kenkėjiški C++ įskiepiai
Taip pat buvo atrasti keli supaprastinti tarpusavyje susiję moduliai, parašyti C++ kalba. Jie susideda iš Orchestrator ir kelių įskiepių, atliekančių konkrečias užduotis. Pagrindinis modulis (Orchestrator) patikrina, ar pažeistame įrenginyje yra konfigūracijos failas, pavadintas „thumbnail.dat“. Tiksli šio failo vieta skiriasi priklausomai nuo „Windows“ OS versijos. „Orchestrator“ veikia kas dvi minutes ir nuskaito konfigūracijos failą, ieškodamas reikalingos informacijos, kad galėtų vykdyti konkretų papildinį.
Sugadinti papildiniai yra DLL formos. Vienas iš aptiktų įskiepių gali gauti itin išsamią informaciją apie sistemą per WQL užklausas. Surenkami duomenys apima OS versiją, įdiegtas OS karštąsias pataisas, BIOS ir HDD gamintojus, visus įdiegtus ir šiuo metu veikiančius programinės įrangos produktus, įdiegtus ir veikiančius saugos produktus, vartotojų abonementus, tinklo adapterių nustatymus ir kt. Du papildomi įskiepiai yra įpareigoti nustatyti klaviatūros registravimo procedūras. Pirmasis nustato WH_KEYBOARD_LL kabliuką ir gali fiksuoti klavišų paspaudimus, taip pat perimti iškarpinės turinį ir „WIndows“ pavadinimus. Kitas papildinys yra atsakingas už sistemos ekrano kopijų darymą, atsižvelgiant į laikmačio ir pelės įvykius, nustatant WH_MOUSE_LL kabliuką.
