WildPressure APT
In 2019 kwam een dreigende campagne waarbij een volwaardige Trojaanse dreiging werd ingezet tegen industriegerelateerde doelen in het Midden-Oosten niet overeen met de TTP's (Tactics, Techniques and Procedures) van de reeds gevestigde dreigingsactoren in de regio. Als gevolg hiervan werd het toegeschreven aan een nieuw opgerichte ATP-groep (Advanced Persistent Threat) met de aanduiding WildPressure.
Sinds deze eerste operatie lijken de hackers behoorlijk wat moeite te hebben gedaan om hun arsenaal aan schadelijke tools uit te breiden en te verbeteren. Inderdaad, een nieuwe campagne met de tekenen van WildPressure zet nu verschillende nooit eerder vertoonde malwarebedreigingen in, waarvan er één in staat is om macOS-systemen in gevaar te brengen. De slachtoffers komen wederom uit het Midden-Oosten en met een voorlopige inschatting dat ze gerelateerd zijn aan de olie- en gassector.
WildPressure heeft ook zijn infrastructuur gediversifieerd. De operatie van 2019 bestond uit VPS (Virtual Private Servers), terwijl de huidige campagne ook verschillende legitieme WordPress-sites omvat die zijn gehackt. Onder hen zijn 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' en 'hxxp://www.mozh[.]org.'
De Milum Trojaan
De oorspronkelijke Trojaanse dreiging is verwijderd door WildPressure. Het is geschreven in C++ en gebruikt het JSON-formaat voor de configuratiegegevens. Hetzelfde formaat wordt ook gebruikt in de communicatie met de Command-and-Control (C2, C&C) server. De enige codering die in Milum wordt waargenomen, is RC4, maar de dreiging gebruikt voor elk slachtoffer een andere 64-byte-sleutel. Op het gecompromitteerde apparaat neemt het Trojaanse paard de vorm aan van een onzichtbaar werkbalkvenster. De bedreigende mogelijkheden omvatten het uitvoeren van ontvangen commando's, het uploaden van gegevens naar de server, het ophalen van bestands- en systeemdetails, het genereren en uitvoeren van een batchscript dat Milum van het systeem verwijdert en zichzelf bijwerkt als een nieuwe versie door de hackers wordt vrijgegeven.
De bewaker Trojan
Deze malwarebedreiging is geschreven in Python en kan zowel Windows- als macOS-systemen infecteren. Het lijkt erop dat de WildPressure-hackers tijdens het maken ervan sterk geïnspireerd waren en vertrouwden op openbaar beschikbare code van derden. Over het algemeen vertoont de dreiging veel overeenkomsten met de andere WildPressure-tools, vooral als het gaat om de coderingsstijl, het ontwerp en het C2-communicatieprotocol. Infosec-onderzoekers zijn van mening dat de Guard Trojan nog in actieve ontwikkeling is.
Een van de eerste functies die specifiek op macOS-apparaten wordt geactiveerd, is om te bepalen of er nog geen andere instantie van het Trojaanse paard actief is. Het persistentiemechanisme is begrijpelijkerwijs ook anders. Op Windows-apparaten maakt het Trojaanse paard een RunOnce-registersleutel Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Voor macOS-systemen decodeert Guard echter een XML-document en genereert vervolgens een plist-bestand. De malware gebruikt vervolgens de inhoud van dat bestand op $HOME/Library/LaunchAgents/com.apple.pyapple.plist om zichzelf automatisch uit te voeren. De dreiging maakt ook gebruik van afzonderlijke methoden om details over het systeem te verkrijgen, afhankelijk van het besturingssysteem. Wat betreft zijn mogelijkheden, Guard kan worden geïnstrueerd om extra bestanden naar het gehackte systeem te downloaden, interessante bestanden naar de C2-server te uploaden, opdrachten uit te voeren, een nieuwe versie op te halen of een opruimroutine uit te voeren om de sporen van het systeem te verwijderen.
De Tandis Trojan
Tandis is een zelfontsleutelende VBScript-bedreiging. In vergelijking met de Guard Trojan richt Tandis zich alleen op Windows-systemen en is het sterk afhankelijk van WQL-query's. Voor het overige is de functionaliteit echter grotendeels consistent met die van Guard en de andere WildPressure-bedreigingen. Het bereikt persistentie via systeemregisters en is in staat om heimelijk commando's uit te voeren, extra payloads naar het systeem te laten vallen, gekozen bestanden te uploaden die zichzelf updaten, een opschoningsroutine uit te voeren en de host vingerafdrukken te nemen. Meer specifiek zoekt Tandis naar alle geïnstalleerde beveiligingsproducten met uitzondering van Defender.
Schadelijke C++-plug-ins
Er zijn ook verschillende simplistische onderling verbonden modules die in C++ zijn geschreven, ontdekt. Ze bestaan uit een Orchestrator en verschillende plug-ins die specifieke taken uitvoeren. De hoofdmodule (Orchestrator) controleert of een configuratiebestand met de naam 'thumbnail.dat' aanwezig is op het gehackte apparaat. De exacte locatie van dit bestand is afhankelijk van de versie van het Windows-besturingssysteem. De Orchestrator wordt elke twee minuten uitgevoerd en scant het configuratiebestand op de vereiste informatie om een specifieke plug-in uit te voeren.
De beschadigde plug-ins hebben de vorm van DLL's. Een van de ontdekte plug-ins is in staat om zeer gedetailleerde informatie over het systeem te verkrijgen via WQL-query's. De verzamelde gegevens omvatten de OS-versie, geïnstalleerde OS-hotfixes, BIOS- en HDD-fabrikanten, alle geïnstalleerde en momenteel actieve softwareproducten, geïnstalleerde en actieve beveiligingsproducten, gebruikersaccounts, instellingen voor netwerkadapters en meer. Twee extra plug-ins zijn belast met het opzetten van keylogging-routines. De eerste stelt een WH_KEYBOARD_LL hook in en kan vervolgens toetsaanslagen vastleggen en klembordinhoud en WIndows-titels onderscheppen. De andere plug-in is verantwoordelijk voor het maken van schermafbeeldingen van het systeem, afhankelijk van timer- en muisgebeurtenissen door een WH_MOUSE_LL-hook in te stellen.
