WildPressure APT

V roku 2019 hrozivá kampaň nasadzujúca plnohodnotnú trójsku hrozbu proti priemyselným cieľom na Blízkom východe nedokázala zodpovedať TTP (taktiky, techniky a postupy) už zavedených aktérov hrozieb v regióne. V dôsledku toho bola pripísaná novozaloženej skupine ATP (Advanced Persistent Threat) s označením WildPressure.

Od tejto počiatočnej operácie sa zdá, že hackeri vynaložili veľa úsilia na rozšírenie a zlepšenie svojho arzenálu škodlivých nástrojov. V skutočnosti nová kampaň nesúca znaky WildPressure teraz nasadzuje niekoľko dovtedy nevídaných malvérových hrozieb, z ktorých jedna je schopná ohroziť systémy macOS. Obete sú opäť z Blízkeho východu a podľa predbežného odhadu súvisia s ropným a plynárenským sektorom.

WildPressure tiež diverzifikoval svoju infraštruktúru. Operácia v roku 2019 pozostávala z VPS (virtuálnych súkromných serverov), zatiaľ čo súčasná kampaň zahŕňa aj niekoľko legitímnych stránok WordPress, ktoré boli napadnuté. Medzi nimi sú 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu“ a „hxxp://www.mozh[.]org.“

milujeme Trojan

Pôvodná hrozba trójskeho koňa bola zrušená spoločnosťou WildPressure. Je napísaný v C++ a pre svoje konfiguračné údaje používa formát JSON. Rovnaký formát sa používa aj pri komunikácii so serverom Command-and-Control (C2, C&C). Jediné šifrovanie pozorované v Milum je RC4, ale hrozba používa iný 64-bajtový kľúč pre každú obeť. Na napadnutom zariadení má trójsky kôň podobu neviditeľného okna panela s nástrojmi. Medzi jeho ohrozujúce schopnosti patrí vykonávanie prijatých príkazov, nahrávanie údajov na server, získavanie podrobností o súboroch a systéme, generovanie a spustenie dávkového skriptu, ktorý odstráni Milum zo systému, ako aj samotná aktualizácia, ak hackeri vydajú novú verziu.

Strážny trójsky kôň

Táto hrozba škodlivého softvéru je napísaná v jazyku Python a môže infikovať systémy Windows aj macOS. Zdá sa, že pri jeho vytváraní boli hackeri WildPressure silne inšpirovaní a spoliehali sa na verejne dostupný kód tretích strán. Celkovo hrozba zdieľa pomerne veľa podobností s ostatnými nástrojmi WildPressure, najmä pokiaľ ide o štýl kódovania, jeho dizajn a komunikačný protokol C2. Výskumníci z Infosec sa domnievajú, že trójsky kôň Guard je stále aktívne vyvíjaný.

Jednou z prvých funkcií aktivovaných špeciálne na zariadeniach macOS je zistiť, či už nie je spustená iná inštancia trójskeho koňa. Mechanizmus perzistencie je pochopiteľne tiež odlišný. Na zariadeniach so systémom Windows vytvorí trójsky kôň kľúč databázy Registry RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Pre systémy macOS však Guard dekóduje dokument XML a potom vygeneruje súbor plist. Malvér potom použije obsah tohto súboru na $HOME/Library/LaunchAgents/com.apple.pyapple.plist na automatické spustenie. Hrozba tiež využíva samostatné metódy na získanie podrobností o systéme v závislosti od operačného systému. Pokiaľ ide o jeho schopnosti, Guard môže dostať pokyn, aby stiahol ďalšie súbory do narušeného systému, nahral súbory, ktoré vás zaujímajú, na server C2, vykonal príkazy, načítal novú verziu alebo vykonal rutinu čistenia na odstránenie jeho stôp zo systému.

Tandis Trojan

Tandis je samodešifrovacia hrozba VBScript. V porovnaní s trójskym koňom Guard sa Tandis zameriava iba na systémy Windows a vo veľkej miere sa spolieha na dotazy WQL. Inak je však jeho funkčnosť do značnej miery konzistentná s funkciou Guard a ďalšími hrozbami WildPressure. Dosahuje stálosť prostredníctvom systémových registrov a je schopný tajne vykonávať príkazy, presúvať ďalšie užitočné zaťaženia do systému, nahrávať vybrané súbory, ktoré sa aktualizujú, spúšťať rutinu čistenia a odoberať odtlačky hostiteľovi. Presnejšie povedané, Tandis hľadá všetky nainštalované bezpečnostné produkty s výnimkou Defender.

Škodlivé doplnky C++

Bolo tiež objavených niekoľko zjednodušujúcich vzájomne prepojených modulov napísaných v C++. Pozostávajú z Orchestrator a niekoľkých pluginov, ktoré vykonávajú špecifické úlohy. Hlavný modul (orchestrátor) skontroluje, či sa na poškodenom zariadení nachádza konfiguračný súbor s názvom 'thumbnail.dat'. Presné umiestnenie tohto súboru sa líši v závislosti od verzie operačného systému Windows. Orchestrator beží každé dve minúty a skenuje konfiguračný súbor pre požadované informácie na spustenie konkrétneho doplnku.

Poškodené doplnky majú formu knižníc DLL. Jeden z objavených pluginov je schopný získať mimoriadne podrobné informácie o systéme prostredníctvom WQL dotazov. Zhromaždené údaje zahŕňajú verziu OS, nainštalované rýchle opravy OS, výrobcov BIOSu a HDD, všetky nainštalované a aktuálne spustené softvérové produkty, nainštalované a spustené bezpečnostné produkty, používateľské účty, nastavenia sieťových adaptérov a ďalšie. Dva ďalšie doplnky majú za úlohu vytvoriť rutiny zaznamenávania kľúčov. Prvý z nich nastaví háčik WH_KEYBOARD_LL a potom dokáže zachytiť stlačenia klávesov, ako aj zachytiť obsah schránky a názvy systému Windows. Druhý doplnok je zodpovedný za vytváranie snímok obrazovky systému v závislosti od udalostí časovača a myši nastavením háku WH_MOUSE_LL.