WildPressure APT

În 2019, o campanie amenințătoare care desfășura o amenințare troiană cu drepturi depline împotriva țintelor legate de industrie din Orientul Mijlociu nu a reușit să se potrivească cu TTP-urile (tactici, tehnici și proceduri) ale actorilor de amenințări deja stabiliți în regiune. Ca urmare, a fost atribuit unui grup ATP (Advanced Persistent Threat) nou înființat, având denumirea WildPressure.

De la această operațiune inițială, hackerii par să fi depus un efort destul de mare pentru a-și extinde și îmbunătăți arsenalul de instrumente dăunătoare. Într-adevăr, o nouă campanie care poartă semnele WildPressure implementează acum mai multe amenințări malware nemaivăzute până acum, dintre care una este capabilă să compromită sistemele macOS. Victimele sunt din nou din Orientul Mijlociu și cu o estimare provizorie a acestora fiind legate de sectorul petrolului și gazelor.

WildPressure și-a diversificat și infrastructura. Operațiunea din 2019 a constat în VPS (Servere private virtuale), în timp ce campania actuală include și câteva site-uri WordPress legitime care au fost compromise. Printre acestea se numără „hxxp://adelice-formation[.]eu”, „hxxp://ricktallis[.]com/news,” „hxxp://whatismyserver123456[.]com”, „hxxp://www. glisru[.]eu,” și „hxxp://www.mozh[.]org.’

Milum troian

Amenințarea troiană inițială a fost eliminată de WildPressure. Este scris în C++ și folosește formatul JSON pentru datele de configurare. Același format este folosit și în comunicarea cu serverul Command-and-Control (C2, C&C). Singura criptare observată în Milum este RC4, dar amenințarea folosește o cheie diferită de 64 de octeți pentru fiecare victimă. Pe dispozitivul compromis, troianul ia forma unei ferestre invizibile de bară de instrumente. Capacitățile sale amenințătoare includ executarea comenzilor primite, încărcarea datelor pe server, obținerea detaliilor fișierelor și ale sistemului, generarea și executarea unui script batch care elimină Milum din sistem, precum și actualizarea în cazul în care o nouă versiune este lansată de hackeri.

Troianul de gardă

Această amenințare malware este scrisă în Python și poate infecta atât sistemele Windows, cât și macOS. Se pare că, în timp ce l-au creat, hackerii WildPressure au fost puternic inspirați și s-au bazat pe codul terță parte disponibil public. În general, amenințarea are destule asemănări cu celelalte instrumente WildPressure, mai ales când vine vorba de stilul de codare, designul său și protocolul de comunicare C2. Cercetătorii Infosec cred că troianul Guard este încă în dezvoltare activă.

Una dintre primele funcții activate special pe dispozitivele macOS este de a determina dacă o altă instanță a troianului nu rulează deja. Mecanismul de persistență este de asemenea diferit. Pe dispozitivele Windows, troianul creează o cheie de registry RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Pentru sistemele macOS, totuși, Guard decodifică un document XML și apoi generează un fișier plist. Malware-ul folosește apoi conținutul acelui fișier la $HOME/Library/LaunchAgents/com.apple.pyapple.plist pentru a rula automat. Amenințarea folosește și metode separate pentru obținerea detaliilor despre sistem, în funcție de sistemul de operare. În ceea ce privește capacitățile sale, Guard poate fi instruit să descarce fișiere suplimentare în sistemul afectat, să încarce fișiere de interes pe serverul C2, să execute comenzi, să preia o nouă versiune sau să efectueze o rutină de curățare pentru a-și elimina urmele din sistem.

Tandis troian

Tandis este o amenințare VBScript cu autodecriptare. În comparație cu Guard Troian, Tandis vizează doar sistemele Windows și se bazează în mare măsură pe interogări WQL. Cu toate acestea, în caz contrar, funcționalitatea sa este în mare măsură în concordanță cu cea a Guard și a celorlalte amenințări WildPressure. Obține persistență prin registrele de sistem și este capabil să execute în mod furtiv comenzi, să arunce încărcături suplimentare în sistem, să încarce fișierele alese actualizându-se, să ruleze o rutină de curățare și să preleze amprenta gazdei. Mai precis, Tandis caută toate produsele de securitate instalate, cu excepția Defender.

Pluginuri C++ rău intenționate

Au fost descoperite și mai multe module simpliste interconectate scrise în C++. Acestea constau dintr-un orchestrator și mai multe plugin-uri care efectuează sarcini specifice. Modulul principal (Orchestrator) verifică dacă un fișier de configurare numit „thumbnail.dat” este prezent pe dispozitivul afectat. Locația exactă a acestui fișier variază în funcție de versiunea sistemului de operare Windows. Orchestrator rulează la fiecare două minute și scanează fișierul de configurare pentru informațiile necesare pentru a executa un anumit plugin.

Pluginurile corupte iau forma DLL-urilor. Unul dintre pluginurile descoperite este capabil să obțină informații extrem de detaliate despre sistem prin interogări WQL. Datele colectate includ versiunea sistemului de operare, remediile rapide ale sistemului de operare instalate, producătorii de BIOS și HDD-uri, toate produsele software instalate și care rulează în prezent, produse de securitate instalate și care rulează, conturi de utilizator, setări de adaptoare de rețea și multe altele. Două plugin-uri suplimentare au sarcina de a stabili rutine de înregistrare a tastelor. Primul setează un cârlig WH_KEYBOARD_LL și apoi poate captura apăsările de taste, precum și interceptarea conținutului clipboard-ului și titlurilor WIndows. Celălalt plugin este responsabil pentru realizarea de capturi de ecran ale sistemului în funcție de evenimentele cronometrului și ale mouse-ului prin setarea unui cârlig WH_MOUSE_LL.