Wildpressure APT

2019 मा फिर्ता, मध्य पूर्वमा उद्योग-सम्बन्धित लक्ष्यहरू विरुद्ध पूर्ण रूपमा विकसित ट्रोजन खतरा तैनात गर्ने धम्कीपूर्ण अभियान यस क्षेत्रमा पहिले नै स्थापित खतरा अभिनेताहरूको TTPs (रणनीति, प्रविधिहरू, र प्रक्रियाहरू) सँग मिलाउन असफल भयो। नतिजाको रूपमा, यो नयाँ स्थापित एटीपी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहलाई वाइल्डप्रेसर नाम दिइएको थियो।

यस प्रारम्भिक अपरेसनदेखि, ह्याकरहरूले हानिकारक उपकरणहरूको आफ्नो शस्त्रागार विस्तार र सुधार गर्न धेरै प्रयास गरेको देखिन्छ। वास्तवमा, WildPressure को संकेतहरू बोकेको नयाँ अभियानले अब धेरै पहिले कहिल्यै नदेखिएका मालवेयर खतराहरू तैनात गर्दैछ, जसमध्ये एउटा macOS प्रणालीहरूसँग सम्झौता गर्न सक्षम छ। पीडितहरू फेरि मध्यपूर्वका हुन् र तिनीहरू तेल र ग्यास क्षेत्रसँग सम्बन्धित रहेको अनुमानित अनुमानको साथ।

वाइल्डप्रेसरले यसको पूर्वाधारमा पनि विविधता ल्याएको छ। 2019 अपरेसनले VPS (भर्चुअल निजी सर्भरहरू) समावेश गरेको थियो जबकि हालको अभियानले धेरै वैध WordPress साइटहरू समावेश गर्दछ जुन सम्झौता गरिएको छ। ती मध्ये 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www। glisru[.]eu,' र 'hxxp://www.mozh[.]org।'

को Milum ट्रोजन

मूल ट्रोजन खतरा वाइल्डप्रेसर द्वारा हटाइयो। यो C++ मा लेखिएको छ र यसको कन्फिगरेसन डाटाको लागि JSON ढाँचा प्रयोग गर्दछ। उही ढाँचा कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरसँग सञ्चारमा पनि प्रयोग गरिन्छ। Milum मा अवलोकन गरिएको एक मात्र इन्क्रिप्सन RC4 हो तर खतराले प्रत्येक पीडितको लागि फरक 64-बाइट कुञ्जी प्रयोग गर्दछ। सम्झौता गरिएको उपकरणमा, ट्रोजनले अदृश्य उपकरणपट्टी विन्डोको रूप लिन्छ। यसको धम्की दिने क्षमताहरूमा प्राप्त आदेशहरू कार्यान्वयन गर्ने, सर्भरमा डाटा अपलोड गर्ने, फाइल र प्रणाली विवरणहरू प्राप्त गर्ने, ब्याच स्क्रिप्ट उत्पन्न गर्ने र कार्यान्वयन गर्ने समावेश छ जसले प्रणालीबाट मिलमलाई हटाउँछ र साथसाथै ह्याकरहरूले नयाँ संस्करण जारी गरेमा आफैलाई अद्यावधिक गर्ने।

गार्ड ट्रोजन

यो मालवेयर खतरा Python मा लेखिएको छ र दुबै Windows र macOS प्रणालीहरूलाई संक्रमित गर्न सक्छ। यस्तो देखिन्छ कि यसलाई सिर्जना गर्दा, WildPressure ह्याकरहरू धेरै प्रेरित थिए र सार्वजनिक रूपमा उपलब्ध तेस्रो-पक्ष कोडमा भर परेका थिए। समग्रमा खतराले अन्य WildPressure उपकरणहरूसँग धेरै समानताहरू साझा गर्दछ विशेष गरी जब यो कोडिङ शैली, यसको डिजाइन, र C2 संचार प्रोटोकलमा आउँछ। इन्फोसेक अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि गार्ड ट्रोजन अझै सक्रिय विकास अन्तर्गत छ।

macOS यन्त्रहरूमा विशेष रूपमा सक्रिय गरिएको पहिलो प्रकार्यहरू मध्ये एक ट्रोजनको अर्को उदाहरण पहिले नै चलिरहेको छैन भनेर निर्धारण गर्न हो। दृढता संयन्त्र पनि स्पष्ट रूपमा फरक छ। Windows उपकरणहरूमा, ट्रोजनले RunOnce रजिस्ट्री कुञ्जी सफ्टवेयर\Microsoft\Windows\CurrentVersion\RunOnce\gd_system सिर्जना गर्छ। macOS प्रणालीहरूको लागि, तथापि, गार्डले XML कागजात डिकोड गर्दछ र त्यसपछि plist फाइल उत्पन्न गर्दछ। त्यसपछि मालवेयरले $HOME/Library/LaunchAgents/com.apple.pyapple.plist मा उक्त फाइलको सामग्रीहरू स्वचालित रूपमा चलाउन प्रयोग गर्दछ। धम्कीले OS मा निर्भर गर्दै प्रणालीको बारेमा विवरणहरू प्राप्त गर्नका लागि छुट्टै विधिहरू पनि प्रयोग गर्दछ। यसको क्षमताहरूको लागि, गार्डलाई उल्लङ्घन गरिएको प्रणालीमा थप फाइलहरू डाउनलोड गर्न, C2 सर्भरमा रुचिका फाइलहरू अपलोड गर्न, आदेशहरू कार्यान्वयन गर्न, नयाँ संस्करण ल्याउन, वा प्रणालीबाट यसको ट्रेसहरू हटाउन क्लिनअप दिनचर्या प्रदर्शन गर्न निर्देशन दिन सकिन्छ।

को Tandis ट्रोजन

Tandis एक आत्म-डिक्रिप्टिंग VBScript खतरा हो। गार्ड ट्रोजनको तुलनामा, Tandis ले विन्डोज प्रणालीहरूलाई मात्र लक्षित गर्दछ र WQL प्रश्नहरूमा धेरै निर्भर गर्दछ। यद्यपि, अन्यथा, यसको कार्यक्षमता धेरै हदसम्म गार्ड र अन्य वाइल्डप्रेसर खतराहरूसँग मिल्दोजुल्दो छ। यसले प्रणाली रजिस्ट्रीहरू मार्फत दृढता प्राप्त गर्दछ र चुपचाप आदेशहरू कार्यान्वयन गर्न, प्रणालीमा अतिरिक्त पेलोडहरू छोड्न, आफूलाई अद्यावधिक गर्ने छनौट गरिएका फाइलहरू अपलोड गर्न, सफा गर्ने दिनचर्या चलाउन, र होस्टलाई फिंगरप्रिन्ट गर्न सक्षम छ। थप विशेष रूपमा, Tandis डिफेन्डर को अपवाद संग सबै स्थापित सुरक्षा उत्पादनहरु को लागी हेर्छ।

खराब C++ प्लगइनहरू

C++ मा लेखिएका धेरै सरल अन्तरसम्बन्धित मोड्युलहरू पनि फेला परेका छन्। तिनीहरू एक अर्केस्ट्रेटर र विशेष कार्यहरू प्रदर्शन गर्ने धेरै प्लगइनहरू समावेश गर्दछ। मुख्य मोड्युल (अरकेस्ट्रेटर) ले उल्लंघन गरिएको यन्त्रमा 'thumbnail.dat' नामको कन्फिगरेसन फाइल छ कि छैन भनी जाँच गर्छ। यस फाइलको सही स्थान Windows OS को संस्करणको आधारमा भिन्न हुन्छ। अर्केस्ट्रेटरले प्रत्येक दुई मिनेटमा चल्छ र विशेष प्लगइन कार्यान्वयन गर्न आवश्यक जानकारीको लागि कन्फिगरेसन फाइल स्क्यान गर्दछ।

भ्रष्ट प्लगइनहरूले DLL को रूप लिन्छ। पत्ता लगाइएको प्लगइनहरू मध्ये एउटा WQL प्रश्नहरू मार्फत प्रणालीको बारेमा अत्यन्त विस्तृत जानकारी प्राप्त गर्न सक्षम छ। सङ्कलन गरिएको डाटामा OS संस्करण, स्थापित OS हटफिक्सहरू, BIOS र HDD निर्माताहरू, सबै स्थापित र हाल चलिरहेका सफ्टवेयर उत्पादनहरू, स्थापना गरिएका र चलिरहेको सुरक्षा उत्पादनहरू, प्रयोगकर्ता खाताहरू, नेटवर्क एडेप्टर सेटिङहरू र थप समावेश छन्। दुई अतिरिक्त प्लगइनहरू किलगिङ दिनचर्याहरू स्थापना गर्नका लागि जिम्मेवार छन्। पहिलोले WH_KEYBOARD_LL हुक सेट गर्दछ र त्यसपछि किस्ट्रोकहरू साथसाथै क्लिपबोर्ड सामग्री र विन्डोज शीर्षकहरू अवरोध गर्न सक्छ। WH_MOUSE_LL हुक सेट गरेर टाइमर र माउस घटनाहरूको आधारमा प्रणालीको स्क्रिनसटहरू लिनको लागि अन्य प्लगइन जिम्मेवार छ।