WildPressure APT

Kembali pada tahun 2019, kempen mengancam yang menggunakan ancaman Trojan sepenuhnya terhadap sasaran berkaitan industri di Timur Tengah gagal menyamai TTP (Taktik, Teknik dan Prosedur) pelaku ancaman yang telah sedia ada di rantau ini. Akibatnya, ia dikaitkan dengan kumpulan ATP (Advanced Persistent Threat) yang baru ditubuhkan yang diberi gelaran WildPressure.

Sejak operasi awal ini, penggodam nampaknya telah menghabiskan banyak usaha untuk mengembangkan dan menambah baik senjata mereka alat berbahaya. Sesungguhnya, kempen baharu yang mengandungi tanda WildPressure kini menggunakan beberapa ancaman perisian hasad yang tidak pernah dilihat sebelum ini, salah satunya mampu menjejaskan sistem macOS. Mangsa sekali lagi berasal dari Timur Tengah dan dengan anggaran tentatif mereka berkaitan dengan sektor minyak dan gas.

WildPressure juga telah mempelbagaikan infrastrukturnya. Operasi 2019 terdiri daripada VPS (Pelayan Peribadi Maya) manakala kempen semasa juga termasuk beberapa tapak WordPress sah yang telah dikompromi. Antaranya ialah 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' dan 'hxxp://www.mozh[.]org.'

The Milum Trojan

Ancaman Trojan asal telah digugurkan oleh WildPressure. Ia ditulis dalam C++ dan menggunakan format JSON untuk data konfigurasinya. Format yang sama juga digunakan dalam komunikasi dengan pelayan Command-and-Control (C2, C&C). Satu-satunya penyulitan yang diperhatikan dalam Milum ialah RC4 tetapi ancaman menggunakan kunci 64-bait yang berbeza untuk setiap mangsa. Pada peranti yang terjejas, Trojan mengambil bentuk tetingkap bar alat yang tidak kelihatan. Keupayaan mengancamnya termasuk melaksanakan arahan yang diterima, memuat naik data ke pelayan, mendapatkan butiran fail dan sistem, menjana dan melaksanakan skrip kelompok yang mengalih keluar Milum daripada sistem serta mengemas kini sendiri jika versi baharu dikeluarkan oleh penggodam.

Trojan Pengawal

Ancaman perisian hasad ini ditulis dalam Python dan boleh menjangkiti kedua-dua sistem Windows dan macOS. Nampaknya semasa menciptanya, penggodam WildPressure telah banyak diilhamkan dan bergantung pada kod pihak ketiga yang tersedia secara terbuka. Secara keseluruhan, ancaman berkongsi banyak persamaan dengan alat WildPressure yang lain terutamanya apabila ia datang kepada gaya pengekodan, reka bentuknya dan protokol komunikasi C2. Penyelidik Infosec percaya bahawa Trojan Pengawal masih dalam pembangunan aktif.

Salah satu fungsi pertama yang diaktifkan secara khusus pada peranti macOS adalah untuk menentukan sama ada satu lagi contoh Trojan belum berjalan. Mekanisme kegigihan juga boleh difahami juga berbeza. Pada peranti Windows, Trojan mencipta kunci pendaftaran RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Untuk sistem macOS, walau bagaimanapun, Guard menyahkod dokumen XML dan kemudian menjana fail plist. Malware kemudian menggunakan kandungan fail itu di $HOME/Library/LaunchAgents/com.apple.pyapple.plist untuk menjalankan sendiri secara automatik. Ancaman itu juga menggunakan kaedah berasingan untuk mendapatkan butiran tentang sistem bergantung pada OS. Bagi keupayaannya, Guard boleh diarahkan untuk memuat turun fail tambahan ke sistem yang dilanggar, memuat naik fail yang menarik ke pelayan C2, melaksanakan arahan, mengambil versi baharu atau melakukan rutin pembersihan untuk mengalih keluar jejaknya daripada sistem.

The Tandis Trojan

Tandis ialah ancaman VBScript yang menyahsulit sendiri. Berbanding dengan Guard Trojan, Tandis hanya menyasarkan sistem Windows dan sangat bergantung pada pertanyaan WQL. Walau bagaimanapun, sebaliknya, fungsinya sebahagian besarnya konsisten dengan Guard dan ancaman WildPressure yang lain. Ia mencapai kegigihan melalui pendaftaran sistem dan mampu melaksanakan perintah secara senyap-senyap, menjatuhkan muatan tambahan ke sistem, memuat naik fail terpilih yang mengemas kini sendiri, menjalankan rutin pembersihan dan cap jari hos. Lebih khusus lagi, Tandis mencari semua produk keselamatan yang dipasang dengan pengecualian Defender.

Pemalam C++ berniat jahat

Beberapa modul saling berkaitan ringkas yang ditulis dalam C++ juga telah ditemui. Ia terdiri daripada Orchestrator dan beberapa pemalam yang melaksanakan tugas tertentu. Modul utama (Orchestrator) menyemak sama ada fail konfigurasi bernama 'thumbnail.dat' terdapat pada peranti yang dilanggar. Lokasi sebenar fail ini berbeza-beza bergantung pada versi OS Windows. Orchestrator berjalan setiap dua minit dan mengimbas fail konfigurasi untuk mendapatkan maklumat yang diperlukan untuk melaksanakan pemalam tertentu.

Pemalam yang rosak mengambil bentuk DLL. Salah satu pemalam yang ditemui mampu mendapatkan maklumat yang sangat terperinci tentang sistem melalui pertanyaan WQL. Data yang dikumpul termasuk versi OS, hotfix OS yang dipasang, pengilang BIOS dan HDD, semua produk perisian yang dipasang dan sedang berjalan, produk keselamatan yang dipasang dan dijalankan, akaun pengguna, tetapan penyesuai rangkaian dan banyak lagi. Dua pemalam tambahan ditugaskan untuk mewujudkan rutin pengelogan kunci. Yang pertama menetapkan cangkuk WH_KEYBOARD_LL dan kemudian boleh menangkap ketukan kekunci serta memintas kandungan papan keratan dan tajuk WIndows. Pemalam yang lain bertanggungjawab untuk mengambil tangkapan skrin sistem bergantung pada pemasa dan acara tetikus dengan menetapkan cangkuk WH_MOUSE_LL.