WildPressure APT

W 2019 r. groźna kampania wykorzystująca w pełni rozwinięte zagrożenie trojanem przeciwko celom związanym z przemysłem na Bliskim Wschodzie nie pasowała do TTP (taktyki, technik i procedur) już istniejących cyberprzestępców w regionie. W rezultacie przypisano go nowo utworzonej grupie ATP (Advanced Persistent Threat) o nazwie WildPressure.

Wydaje się, że od tej początkowej operacji hakerzy włożyli sporo wysiłku w rozszerzenie i ulepszenie swojego arsenału szkodliwych narzędzi. Rzeczywiście, nowa kampania nosząca oznaki WildPressure wdraża teraz kilka nigdy wcześniej nie widzianych zagrożeń złośliwym oprogramowaniem, z których jedno może złamać systemy macOS. Ofiary ponownie pochodzą z Bliskiego Wschodu i według wstępnych szacunków są związane z sektorem naftowym i gazowym.

WildPressure również zdywersyfikował swoją infrastrukturę. Operacja 2019 składała się z VPS (Virtual Private Servers), podczas gdy obecna kampania obejmuje również kilka legalnych witryn WordPress, które zostały zhakowane. Wśród nich są „hxxp://adelice-formation[.]eu", „hxxp://ricktallis[.]com/news", „hxxp://whatismyserver123456[.]com", „hxxp://www. glisru[.]eu" i „hxxp://www.mozh[.]org".

Milum Trojan

Pierwotne zagrożenie trojanem zostało usunięte przez WildPressure. Jest napisany w C++ i używa formatu JSON dla swoich danych konfiguracyjnych. Ten sam format jest również wykorzystywany w komunikacji z serwerem Command-and-Control (C2, C&C). Jedyne szyfrowanie zaobserwowane w Milum to RC4, ale zagrożenie używa innego 64-bajtowego klucza dla każdej ofiary. Na zaatakowanym urządzeniu trojan przybiera postać niewidocznego okna paska narzędzi. Jego groźne możliwości obejmują wykonywanie otrzymanych poleceń, przesyłanie danych na serwer, uzyskiwanie szczegółów plików i systemu, generowanie i wykonywanie skryptu wsadowego, który usuwa Milum z systemu, a także aktualizowanie się, jeśli hakerzy wydadzą nową wersję.

Strażnik trojański

To zagrożenie złośliwym oprogramowaniem jest napisane w Pythonie i może infekować zarówno systemy Windows, jak i macOS. Wygląda na to, że podczas jego tworzenia hakerzy WildPressure byli mocno zainspirowani i polegali na publicznie dostępnym kodzie stron trzecich. Ogólnie rzecz biorąc, zagrożenie ma wiele podobieństw z innymi narzędziami WildPressure, zwłaszcza jeśli chodzi o styl kodowania, jego konstrukcję i protokół komunikacyjny C2. Badacze Infosec uważają, że trojan Guard jest nadal aktywnie rozwijany.

Jedną z pierwszych funkcji aktywowanych specjalnie na urządzeniach z systemem macOS jest ustalenie, czy inna instancja trojana nie jest już uruchomiona. Mechanizm trwałości jest, co zrozumiałe, również inny. Na urządzeniach z systemem Windows trojan tworzy klucz rejestru RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Jednak w przypadku systemów macOS Guard dekoduje dokument XML, a następnie generuje plik plist. Następnie złośliwe oprogramowanie wykorzystuje zawartość tego pliku w $HOME/Library/LaunchAgents/com.apple.pyapple.plist, aby automatycznie uruchomić się. Zagrożenie wykorzystuje również oddzielne metody uzyskiwania szczegółowych informacji o systemie w zależności od systemu operacyjnego. Jeśli chodzi o jego możliwości, Guard może zostać poinstruowany, aby pobrać dodatkowe pliki do naruszonego systemu, przesłać interesujące pliki na serwer C2, wykonać polecenia, pobrać nową wersję lub wykonać procedurę czyszczenia w celu usunięcia śladów z systemu.

Tandis Trojan

Tandis to samoodszyfrowujące się zagrożenie VBScript. W porównaniu do trojana Guard, Tandis atakuje tylko systemy Windows i w dużym stopniu opiera się na zapytaniach WQL. Jednak poza tym jego funkcjonalność jest w dużej mierze zgodna z funkcjonalnością Guard i innych zagrożeń WildPressure. Osiąga trwałość za pośrednictwem rejestrów systemowych i jest w stanie potajemnie wykonywać polecenia, zrzucać dodatkowe ładunki do systemu, przesyłać wybrane pliki aktualizując się, uruchamiać procedurę czyszczenia i odciskać palca hosta. Dokładniej, Tandis szuka wszystkich zainstalowanych produktów zabezpieczających z wyjątkiem Defendera.

Złośliwe wtyczki C++

Odkryto również kilka uproszczonych, wzajemnie połączonych modułów napisanych w C++. Składają się z Orchestratora i kilku wtyczek wykonujących określone zadania. Główny moduł (Orchestrator) sprawdza, czy plik konfiguracyjny o nazwie „thumbnail.dat" znajduje się na naruszonym urządzeniu. Dokładna lokalizacja tego pliku różni się w zależności od wersji systemu operacyjnego Windows. Program Orchestrator uruchamia się co dwie minuty i skanuje plik konfiguracyjny w poszukiwaniu informacji wymaganych do wykonania określonej wtyczki.

Uszkodzone wtyczki mają postać bibliotek DLL. Jedna z odkrytych wtyczek jest w stanie uzyskać niezwykle szczegółowe informacje o systemie za pomocą zapytań WQL. Zgromadzone dane obejmują wersję systemu operacyjnego, zainstalowane poprawki systemu operacyjnego, producentów BIOS-u i dysków twardych, wszystkie zainstalowane i aktualnie uruchomione oprogramowanie, zainstalowane i uruchomione produkty zabezpieczające, konta użytkowników, ustawienia kart sieciowych i wiele innych. Dwie dodatkowe wtyczki mają za zadanie ustanowić procedury keyloggera. Pierwszy ustawia zaczep WH_KEYBOARD_LL i może następnie przechwytywać naciśnięcia klawiszy, a także przechwytywać zawartość schowka i tytuły Windows. Druga wtyczka jest odpowiedzialna za wykonywanie zrzutów ekranu systemu w zależności od zdarzeń zegara i myszy poprzez ustawienie podpięcia WH_MOUSE_LL.