WildPressure APT
2019. gadā draudu kampaņa, kurā tika izvietoti pilnvērtīgi Trojas draudi pret ar nozari saistītiem mērķiem Tuvajos Austrumos, neatbilda reģionā jau izveidoto apdraudējuma dalībnieku TTP (taktika, paņēmieni un procedūras). Rezultātā tas tika attiecināts uz jaunizveidoto ATP (Advanced Persistent Threat) grupu, kam piešķirts apzīmējums WildPressure.
Kopš šīs sākotnējās darbības hakeri, šķiet, ir veltījuši daudz pūļu, lai paplašinātu un uzlabotu savu kaitīgo rīku arsenālu. Patiešām, jauna kampaņa, kurai ir WildPressure pazīmes, tagad izvieto vairākus nekad agrāk neredzētus ļaunprātīgas programmatūras draudus, no kuriem viens var apdraudēt MacOS sistēmas. Upuri atkal ir no Tuvajiem Austrumiem, un provizoriski tiek lēsts, ka tie ir saistīti ar naftas un gāzes nozari.
WildPressure ir arī dažādojis savu infrastruktūru. 2019. gada darbība ietvēra VPS (virtuālos privātos serverus), savukārt pašreizējā kampaņā ir iekļautas arī vairākas likumīgas WordPress vietnes, kuras ir apdraudētas. Starp tiem ir “hxxp://adelice-formation[.]eu”, “hxxp://ricktallis[.]com/news”, “hxxp://whatismyserver123456[.]com”, “hxxp://www. glisru[.]eu" un "hxxp://www.mozh[.]org."
Milum Trojas
Sākotnējos Trojas draudus atcēla WildPressure. Tas ir rakstīts C++ un konfigurācijas datiem izmanto JSON formātu. Tas pats formāts tiek izmantots arī saziņā ar Command-and-Control (C2, C&C) serveri. Vienīgā Milum novērotā šifrēšana ir RC4, taču draudi izmanto atšķirīgu 64 baitu atslēgu katram upurim. Kompromitētajā ierīcē Trojas zirgs izpaužas kā neredzams rīkjoslas logs. Tās draudošās iespējas ietver saņemto komandu izpildi, datu augšupielādi serverī, faila un sistēmas informācijas iegūšanu, pakešu skripta ģenerēšanu un izpildi, kas noņem Milum no sistēmas, kā arī sevis atjaunināšanu, ja hakeri izlaiž jaunu versiju.
Sargu Trojas zirgs
Šis ļaunprātīgās programmatūras drauds ir rakstīts Python un var inficēt gan Windows, gan MacOS sistēmas. Šķiet, ka, veidojot to, WildPressure hakeri bija ļoti iedvesmoti un paļāvās uz publiski pieejamu trešās puses kodu. Kopumā draudiem ir diezgan daudz līdzību ar citiem WildPressure rīkiem, it īpaši, ja runa ir par kodēšanas stilu, tā dizainu un C2 sakaru protokolu. Infosec pētnieki uzskata, ka Guard Trojas zirgs joprojām tiek aktīvi izstrādāts.
Viena no pirmajām funkcijām, kas īpaši aktivizētas macOS ierīcēs, ir noteikt, vai vēl nedarbojas cits Trojas zirgs. Saprotams, ka noturības mehānisms ir arī atšķirīgs. Windows ierīcēs Trojas zirgs izveido RunOnce reģistra atslēgu Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Tomēr MacOS sistēmām Guard atšifrē XML dokumentu un pēc tam ģenerē plist failu. Ļaunprātīgā programmatūra pēc tam izmanto šī faila saturu vietnē $HOME/Library/LaunchAgents/com.apple.pyapple.plist, lai automātiski palaistu sevi. Draudi arī izmanto atsevišķas metodes, lai iegūtu informāciju par sistēmu atkarībā no OS. Runājot par tā iespējām, Guard var uzdot lejupielādēt papildu failus uzlauztajā sistēmā, augšupielādēt interesējošos failus C2 serverī, izpildīt komandas, ielādēt jaunu versiju vai veikt tīrīšanas darbību, lai noņemtu tās pēdas no sistēmas.
Tandis Trojas
Tandis ir pašatšifrējošs VBScript drauds. Salīdzinot ar Guard Trojas zirgu, Tandis mērķauditorija ir tikai Windows sistēmas un lielā mērā paļaujas uz WQL vaicājumiem. Tomēr pretējā gadījumā tā funkcionalitāte lielā mērā atbilst Guard un citu WildPressure apdraudējumu funkcionalitātei. Tas nodrošina noturību, izmantojot sistēmas reģistrus, un spēj slepeni izpildīt komandas, nomest sistēmai papildu slodzes, augšupielādēt izvēlētos failus, atjauninot sevi, palaist tīrīšanas rutīnu un noņemt resursdatora pirkstu nospiedumus. Konkrētāk, Tandis meklē visus instalētos drošības produktus, izņemot Defender.
Ļaunprātīgi C++ spraudņi
Ir atklāti arī vairāki vienkāršoti savstarpēji saistīti moduļi, kas rakstīti C++ valodā. Tie sastāv no Orchestrator un vairākiem spraudņiem, kas veic konkrētus uzdevumus. Galvenais modulis (Orchestrator) pārbauda, vai bojātajā ierīcē ir konfigurācijas fails ar nosaukumu "thumbnail.dat". Precīza šī faila atrašanās vieta atšķiras atkarībā no Windows OS versijas. Orchestrator darbojas ik pēc divām minūtēm un skenē konfigurācijas failu, lai atrastu nepieciešamo informāciju, lai izpildītu konkrētu spraudni.
Bojātie spraudņi ir DLL formātā. Viens no atklātajiem spraudņiem spēj iegūt ārkārtīgi detalizētu informāciju par sistēmu, izmantojot WQL vaicājumus. Apkopotie dati ietver OS versiju, instalētos OS labojumus, BIOS un HDD ražotājus, visus instalētos un pašlaik darbojošos programmatūras produktus, instalētos un darbotos drošības produktus, lietotāju kontus, tīkla adapteru iestatījumus un daudz ko citu. Diviem papildu spraudņiem ir uzdevums izveidot taustiņu reģistrēšanas rutīnas. Pirmajā tiek iestatīts WH_KEYBOARD_LL āķis un pēc tam var tvert taustiņu nospiešanu, kā arī pārtvert starpliktuves saturu un WIndows nosaukumus. Otrs spraudnis ir atbildīgs par sistēmas ekrānuzņēmumu uzņemšanu atkarībā no taimera un peles notikumiem, iestatot WH_MOUSE_LL āķi.
