WildPressure APT

Tilbake i 2019 klarte ikke en truende kampanje som distribuerte en fullverdig trojansk trussel mot industrirelaterte mål i Midtøsten å matche TTP-ene (Taktikk, teknikker og prosedyrer) til de allerede etablerte trusselaktørene i regionen. Som et resultat ble det tilskrevet en nyetablert ATP-gruppe (Advanced Persistent Threat) gitt betegnelsen WildPressure.

Siden denne første operasjonen ser det ut til at hackerne har brukt ganske mye krefter på å utvide og forbedre arsenalet av skadelige verktøy. Faktisk, en ny kampanje som bærer tegnene til WildPressure, distribuerer nå flere aldri før sett skadevaretrusler, hvorav en er i stand til å kompromittere macOS-systemer. Ofrene er nok en gang fra Midtøsten og med et foreløpig anslag om at de er relatert til olje- og gassektoren.

WildPressure har også diversifisert sin infrastruktur. 2019-operasjonen besto av VPS (Virtual Private Servers), mens den nåværende kampanjen også inkluderer flere legitime WordPress-nettsteder som har blitt kompromittert. Blant dem er 'hxxp://adelice-formation[.]eu', 'hxxp://ricktallis[.]com/news', 'hxxp://whatismyserver123456[.]com', 'hxxp://www. glisru[.]eu,' og 'hxxp://www.mozh[.]org.'

Den Milum Trojan

Den opprinnelige trojanske trusselen ble droppet av WildPressure. Den er skrevet i C++ og bruker JSON-formatet for konfigurasjonsdata. Det samme formatet brukes også i kommunikasjonen med Command-and-Control-serveren (C2, C&C). Den eneste krypteringen som er observert i Milum er RC4, men trusselen bruker en annen 64-byte nøkkel for hvert offer. På den kompromitterte enheten har trojaneren form av et usynlig verktøylinjevindu. Dens truende evner inkluderer å utføre mottatte kommandoer, laste opp data til serveren, hente fil- og systemdetaljer, generere og utføre et batch-skript som fjerner Milum fra systemet, samt å oppdatere seg selv hvis en ny versjon utgis av hackerne.

The Guard Trojan

Denne trusselen mot skadelig programvare er skrevet i Python og kan infisere både Windows- og macOS-systemer. Det ser ut til at WildPressure-hackerne ble sterkt inspirert og stolte på offentlig tilgjengelig tredjepartskode mens de opprettet den. Totalt sett deler trusselen ganske mange likheter med de andre WildPressure-verktøyene, spesielt når det kommer til kodestilen, dens design og C2-kommunikasjonsprotokollen. Infosec-forskere mener at Guard-trojaneren fortsatt er under aktiv utvikling.

En av de første funksjonene som er aktivert spesifikt på macOS-enheter, er å finne ut om en annen forekomst av trojaneren ikke allerede kjører. Utholdenhetsmekanismen er forståelig nok også annerledes. På Windows-enheter oppretter trojaneren en RunOnce-registernøkkel Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. For macOS-systemer dekoder Guard imidlertid et XML-dokument og genererer deretter en plist-fil. Skadevaren bruker deretter innholdet i den filen på $HOME/Library/LaunchAgents/com.apple.pyapple.plist for å kjøre seg selv automatisk. Trusselen bruker også separate metoder for å få detaljer om systemet avhengig av operativsystemet. Når det gjelder funksjonene, kan Guard bli instruert om å laste ned flere filer til systemet som brytes, laste opp filer av interesse til C2-serveren, utføre kommandoer, hente en ny versjon eller utføre en oppryddingsrutine for å fjerne sporene fra systemet.

Den Tandis Trojan

Tandis er en selvdekrypterende VBScript-trussel. Sammenlignet med Guard Trojan, retter Tandis seg kun mot Windows-systemer og er sterkt avhengig av WQL-spørringer. Men ellers er funksjonaliteten i stor grad konsistent med Guard og de andre WildPressure-truslene. Den oppnår utholdenhet via systemregistre og er i stand til snikende å utføre kommandoer, slippe ekstra nyttelast til systemet, laste opp valgte filer som oppdaterer seg selv, kjøre en oppryddingsrutine og fingeravtrykk av verten. Mer spesifikt ser Tandis etter alle installerte sikkerhetsprodukter med unntak av Defender.

Ondsinnede C++-plugins

Flere forenklede sammenkoblede moduler skrevet i C++ har også blitt oppdaget. De består av en Orchestrator og flere plugins som utfører spesifikke oppgaver. Hovedmodulen (Orchestrator) sjekker om en konfigurasjonsfil kalt 'thumbnail.dat' er tilstede på den ødelagte enheten. Den nøyaktige plasseringen av denne filen varierer avhengig av versjonen av Windows OS. Orchestrator kjører hvert annet minutt og skanner konfigurasjonsfilen for nødvendig informasjon for å utføre en spesifikk plugin.

De ødelagte pluginene har form av DLL-er. En av de oppdagede pluginene er i stand til å skaffe ekstremt detaljert informasjon om systemet via WQL-spørringer. De innsamlede dataene inkluderer OS-versjonen, installerte OS-hurtigreparasjoner, BIOS- og HDD-produsenter, alle installerte og kjørende programvareprodukter, installerte og kjørende sikkerhetsprodukter, brukerkontoer, nettverkskortinnstillinger og mer. To ekstra plugins har i oppgave å etablere keylogging-rutiner. Den første setter en WH_KEYBOARD_LL-hook og kan deretter fange opp tastetrykk samt fange opp utklippstavleinnhold og Windows-titler. Den andre pluginen er ansvarlig for å ta skjermbilder av systemet avhengig av timer og musehendelser ved å sette en WH_MOUSE_LL-krok.