APT WildPressure

Еще в 2019 году угрожающая кампания по развертыванию полноценной троянской угрозы против промышленных целей на Ближнем Востоке не соответствовала ТТП (тактикам, методам и процедурам) уже установленных злоумышленников в регионе. В результате он был отнесен к недавно созданной группе ATP (Advanced Persistent Threat) с обозначением WildPressure.

С момента этой первоначальной операции хакеры, похоже, приложили немало усилий для расширения и улучшения своего арсенала вредоносных инструментов. Действительно, новая кампания, имеющая признаки WildPressure, теперь развертывает несколько невиданных ранее вредоносных угроз, одна из которых способна поставить под угрозу системы MacOS. Жертвы снова прибыли с Ближнего Востока и, по предварительным оценкам, связаны с нефтегазовым сектором.

WildPressure также диверсифицировала свою инфраструктуру. Операция 2019 года включала VPS (виртуальные частные серверы), в то время как текущая кампания также включает несколько законных сайтов WordPress, которые были взломаны. Среди них 'hxxp: // adelice-education [.] Eu,' 'hxxp: // ricktallis [.] Com / news,' 'hxxp: // whatismyserver123456 [.] Com,' 'hxxp: // www. glisru [.] eu, 'и' hxxp: //www.mozh [.] org. '

Milum Trojan

Исходная троянская угроза была отброшена WildPressure. Он написан на C ++ и использует формат JSON для данных конфигурации. Тот же формат также используется для связи с сервером Command-and-Control (C2, C&C). Единственное шифрование, наблюдаемое в Milum, - это RC4, но угроза использует свой 64-байтовый ключ для каждой жертвы. На взломанном устройстве троянец принимает форму невидимого окна панели инструментов. Его угрожающие возможности включают выполнение полученных команд, загрузку данных на сервер, получение сведений о файлах и системе, создание и выполнение пакетного сценария, который удаляет Milum из системы, а также само обновление, если новая версия выпущена хакерами.

Страж троян

Эта вредоносная угроза написана на Python и может заразить как системы Windows, так и macOS. Похоже, что при его создании хакеры WildPressure были сильно вдохновлены и полагались на общедоступный сторонний код. В целом угроза имеет много общего с другими инструментами WildPressure, особенно когда речь идет о стиле кодирования, дизайне и протоколе связи C2. Исследователи Infosec считают, что троян Guard все еще находится в стадии активной разработки.

Одна из первых функций, активируемых специально на устройствах macOS, - это определение того, не запущен ли еще один экземпляр троянца. Понятно, что механизм персистентности также отличается. На устройствах Windows троянец создает раздел реестра RunOnce Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. Однако для систем macOS Guard декодирует XML-документ, а затем создает файл plist. Затем вредоносная программа использует содержимое этого файла в $ HOME / Library / LaunchAgents / com.apple.pyapple.plist для автоматического запуска. Угроза также использует отдельные методы для получения сведений о системе в зависимости от ОС. Что касается его возможностей, Guard может быть проинструктирован загружать дополнительные файлы в взломанную систему, загружать интересующие файлы на сервер C2, выполнять команды, получать новую версию или выполнять процедуру очистки, чтобы удалить ее следы из системы.

TANDIS Trojan

Tandis - это саморасшифровывающаяся угроза VBScript. По сравнению с трояном Guard, Tandis нацелен только на системы Windows и в значительной степени полагается на запросы WQL. Однако в остальном его функциональность в значительной степени соответствует функциональности Guard и других угроз WildPressure. Он обеспечивает постоянство через системные реестры и способен незаметно выполнять команды, сбрасывать дополнительные полезные данные в систему, загружать выбранные файлы, обновлять себя, запускать процедуру очистки и снимать отпечатки пальцев с хоста. В частности, Tandis ищет все установленные продукты безопасности, за исключением Defender.

Вредоносные плагины C ++

Также было обнаружено несколько упрощенных взаимосвязанных модулей, написанных на C ++. Они состоят из Orchestrator и нескольких плагинов, выполняющих определенные задачи. Главный модуль (Orchestrator) проверяет, присутствует ли файл конфигурации с именем «thumbnail.dat» на взломанном устройстве. Точное расположение этого файла зависит от версии ОС Windows. Orchestrator запускается каждые две минуты и сканирует файл конфигурации на предмет необходимой информации для выполнения определенного подключаемого модуля.

Поврежденные плагины имеют форму DLL. Один из обнаруженных плагинов способен получать чрезвычайно подробную информацию о системе с помощью WQL-запросов. Собранные данные включают версию ОС, установленные исправления ОС, производителей BIOS и жестких дисков, все установленные и работающие программные продукты, установленные и работающие продукты безопасности, учетные записи пользователей, настройки сетевых адаптеров и многое другое. Два дополнительных плагина предназначены для создания подпрограмм кейлоггеров. Первый устанавливает ловушку WH_KEYBOARD_LL и затем может захватывать нажатия клавиш, а также перехватывать содержимое буфера обмена и заголовки WIndows. Другой плагин отвечает за создание снимков экрана системы в зависимости от событий таймера и мыши, устанавливая хук WH_MOUSE_LL.