WildPressure APT

Por Mezo em Advanced Persistent Threat (APT)

Traduzir Para:

Em 2019, uma campanha ameaçadora implantando uma ameaça de Trojan totalmente desenvolvida contra alvos relacionados à indústria no Oriente Médio falhou em corresponder aos TTPs (táticas, técnicas e procedimentos) dos atores de ameaças já estabelecidos na região. Como resultado, foi atribuído a um grupo ATP (Advanced Persistent Threat) recém-criado, com a designação de WildPressure.

Desde essa operação inicial, os hackers parecem ter feito um grande esforço para expandir e melhorar o seu arsenal de ferramentas prejudiciais. Na verdade, uma nova campanha com os sinais do WildPressure agora está implantando várias ameaças de malware nunca antes vistas, uma das quais é capaz de comprometer os sistemas macOS. As vítimas são mais uma vez do Oriente Médio e com uma estimativa preliminar de estarem relacionadas ao setor de petróleo e gás.

O WildPressure também diversificou sua infraestrutura. A operação de 2019 consistiu em VPS (Virtual Private Servers), enquanto a campanha atual também inclui vários sites legítimos do WordPress que foram comprometidos. Entre eles estão o 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www.glisru[.]eu,' e 'hxxp://www.mozh[.]org.'

O Trojan Milum

A ameaça de Trojan original foi abandonada pelo WildPressure. Ele é escrito em C ++ e usa o formato JSON para seus dados de configuração. O mesmo formato também é empregado na comunicação com o servidor Command-and-Control (C2, C&C). A única criptografia observada no Milum é a RC4, mas a ameaça usa uma chave de 64 bytes diferente para cada vítima. No dispositivo comprometido, o Trojan assume a forma de uma janela invisível da barra de ferramentas. Seus recursos ameaçadores incluem a execução de comandos recebidos, upload de dados para o servidor, obtenção de arquivos e detalhes do sistema, geração e execução de um script em lote que remove Milum do sistema, bem como atualização se uma nova versão for lançada pelos hackers.

O Guard Trojan

Esta ameaça de malware é escrita em Python e pode infectar os sistemas Windows e macOS. Parece que, ao criá-lo, os hackers do WildPressure foram fortemente inspirados e confiaram em códigos de terceiros disponíveis publicamente. No geral, a ameaça compartilha muitas semelhanças com as outras ferramentas do WildPressure, especialmente no que diz respeito ao estilo de codificação, seu design e o protocolo de comunicação C2. Os pesquisadores da Infosec acreditam que o Trojan Guard ainda está em desenvolvimento ativo.

Uma das primeiras funções ativadas especificamente nos dispositivos macOS é determinar se outra instância do Trojan já não está em execução. O mecanismo de persistência é compreensivelmente diferente. Em dispositivos Windows, o Trojan cria uma chave de registro RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Para sistemas macOS, no entanto, o Guard decodifica um documento XML e, em seguida, gera um arquivo plist. O malware então usa o conteúdo desse arquivo em $HOME/Library/LaunchAgents/com.apple.pyapple.plist para se executar automaticamente. A ameaça também emprega métodos separados para obter detalhes sobre o sistema, dependendo do sistema operacional. Quanto aos seus recursos, o Guard pode ser instruído a baixar arquivos adicionais para o sistema violado, fazer upload de arquivos de interesse para o servidor C2, executar comandos, buscar uma nova versão ou realizar uma rotina de limpeza para remover seus vestígios do sistema.

O Trojan Tandis

O Tandis é uma ameaça VBScript auto-decifradora. Comparado com o Trojan Guard, o Tandis visa apenas sistemas Windows e depende muito de consultas WQL. No entanto, caso contrário, sua funcionalidade é amplamente consistente com a do Guard e outras ameaças do WildPressure. Ele atinge a persistência por meio de registros do sistema e é capaz de executar comandos furtivamente, liberar cargas adicionais para o sistema, fazer upload de arquivos escolhidos e se atualizar, executar uma rotina de limpeza e obter impressões digitais do host. Mais especificamente, o Tandis procura todos os produtos de segurança instalados, exceto o Defender.

Plug-ins C ++ Maliciosos

Vários módulos interconectados simplistas escritos em C ++ também foram descobertos. Eles consistem em um orquestrador e vários plug-ins executando tarefas específicas. O módulo principal (orquestrador) verifica se um arquivo de configuração denominado 'thumbnail.dat' está presente no dispositivo violado. A localização exata deste arquivo varia dependendo da versão do sistema operacional Windows. O orquestrador é executado a cada dois minutos e verifica o arquivo de configuração em busca das informações necessárias para executar um plug-in específico.

Os plug-ins corrompidos assumem a forma de DLLs. Um dos plug-ins descobertos é capaz de obter informações extremamente detalhadas sobre o sistema por meio de consultas WQL. Os dados coletados incluem a versão do SO, hotfixes do SO instalados, fabricantes de BIOS e HDD, todos os produtos de software instalados e atualmente em execução, produtos de segurança instalados e em execução, contas de usuário, configurações de adaptadores de rede e muito mais. Dois plug-ins adicionais têm a tarefa de estabelecer rotinas de keylogging. O primeiro define um gancho WH_KEYBOARD_LL e pode capturar as teclas digitadas, bem como interceptar o conteúdo da área de transferência e os títulos do Windows. O outro plugin é responsável por tirar screenshots do sistema dependendo do temporizador e eventos do mouse, definindo um gancho WH_MOUSE_LL.

Buscar

Mudar de região

WildPressure APT

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela