WildPressure APT

Leta 2019 se grozeča kampanja, ki je uporabila popolno trojansko grožnjo proti industrijskim ciljem na Bližnjem vzhodu, ni ujemala s TTP (taktike, tehnike in postopki) že uveljavljenih akterjev grožnje v regiji. Posledično je bil pripisan novoustanovljeni skupini ATP (Advanced Persistent Threat) z oznako WildPressure.

Od te začetne operacije se zdi, da so hekerji porabili kar nekaj truda za razširitev in izboljšanje svojega arzenala škodljivih orodij. Dejansko nova kampanja, ki nosi znake WildPressure, zdaj uvaja več še nikoli videnih groženj zlonamerne programske opreme, od katerih je ena sposobna ogroziti sisteme macOS. Žrtve so ponovno z Bližnjega vzhoda in po okvirni oceni so povezane z naftnim in plinskim sektorjem.

WildPressure je tudi diverzificiral svojo infrastrukturo. Operacija 2019 je bila sestavljena iz VPS (virtualnih zasebnih strežnikov), medtem ko trenutna kampanja vključuje tudi več zakonitih spletnih mest WordPress, ki so bila ogrožena. Med njimi so »hxxp://adelice-formation[.]eu,« »hxxp://ricktallis[.]com/news,« »hxxp://whatismyserver123456[.]com,« »hxxp://www. glisru[.]eu," in "hxxp://www.mozh[.]org."

Milum Trojan

Prvotno trojansko grožnjo je WildPressure opustil. Napisana je v C++ in za svoje konfiguracijske podatke uporablja format JSON. Isti format se uporablja tudi pri komunikaciji s strežnikom za upravljanje in nadzor (C2, C&C). Edino šifriranje, ki ga opazimo v Milumu, je RC4, vendar grožnja za vsako žrtev uporablja drugačen 64-bajtni ključ. Na ogroženi napravi ima trojanec obliko nevidnega okna orodne vrstice. Njegove ogrožajoče zmožnosti vključujejo izvajanje prejetih ukazov, nalaganje podatkov na strežnik, pridobivanje podatkov o datoteki in sistemu, ustvarjanje in izvajanje paketnega skripta, ki odstrani Milum iz sistema, ter samoposodabljanje, če hekerji izdajo novo različico.

Stražarski trojanec

Ta grožnja z zlonamerno programsko opremo je napisana v Pythonu in lahko okuži sistem Windows in macOS. Zdi se, da so bili med ustvarjanjem hekerji WildPressure močno navdihnjeni in se zanašali na javno dostopno kodo tretjih oseb. Na splošno ima grožnja precej podobnosti z drugimi orodji WildPressure, zlasti ko gre za slog kodiranja, njegovo zasnovo in komunikacijski protokol C2. Raziskovalci Infosec menijo, da je Guard Trojan še vedno v aktivnem razvoju.

Ena od prvih funkcij, ki se aktivirajo posebej na napravah macOS, je ugotoviti, ali se še en primerek trojanca še ne izvaja. Mehanizem obstojnosti je razumljivo tudi drugačen. Na napravah Windows trojanec ustvari registrski ključ RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Za sisteme macOS pa Guard dekodira dokument XML in nato ustvari datoteko plist. Zlonamerna programska oprema nato uporabi vsebino te datoteke na naslovu $HOME/Library/LaunchAgents/com.apple.pyapple.plist, da se samodejno zažene. Grožnja uporablja tudi ločene metode za pridobivanje podrobnosti o sistemu, odvisno od operacijskega sistema. Kar zadeva njegove zmogljivosti, je Guardu mogoče naročiti, da prenese dodatne datoteke v vdrti sistem, naloži zanimive datoteke na strežnik C2, izvede ukaze, pridobi novo različico ali izvede rutino čiščenja, da odstrani svoje sledi iz sistema.

Tandis Trojan

Tandis je grožnja VBScript, ki se samodešifrira. V primerjavi s Guard Trojan, Tandis cilja samo na sisteme Windows in se močno zanaša na poizvedbe WQL. Sicer pa je njegova funkcionalnost v veliki meri skladna s funkcijo Guard in drugimi grožnjami WildPressure. Dosega obstojnost prek sistemskih registrov in je sposoben prikritega izvajanja ukazov, spuščanja dodatnih koristnih obremenitev v sistem, nalaganja izbranih datotek, ki se posodabljajo, izvajanja rutine čiščenja in prstnih odtisov gostitelja. Natančneje, Tandis išče vse nameščene varnostne izdelke z izjemo Defenderja.

Zlonamerni vtičniki C++

Odkritih je bilo tudi več poenostavljenih medsebojno povezanih modulov, napisanih v C++. Sestavljeni so iz orkestratorja in več vtičnikov, ki opravljajo določene naloge. Glavni modul (Orchestrator) preveri, ali je na poškodovani napravi prisotna konfiguracijska datoteka z imenom 'thumbnail.dat'. Natančna lokacija te datoteke se razlikuje glede na različico operacijskega sistema Windows. Orchestrator se zažene vsaki dve minuti in skenira konfiguracijsko datoteko za zahtevane informacije za izvedbo določenega vtičnika.

Poškodovani vtičniki so v obliki DLL. Eden od odkritih vtičnikov je sposoben pridobiti izjemno podrobne informacije o sistemu prek poizvedb WQL. Zbrani podatki vključujejo različico OS, nameščene hitre popravke OS, proizvajalce BIOS-a in trdih diskov, vse nameščene in trenutno delujoče programske izdelke, nameščene in delujoče varnostne izdelke, uporabniške račune, nastavitve omrežnih adapterjev in drugo. Dva dodatna vtičnika imata nalogo vzpostaviti rutine za beleženje tipkovnic. Prvi nastavi kljuko WH_KEYBOARD_LL in lahko nato zajame pritiske tipk ter prestreže vsebino odložišča in naslove Windows. Drugi vtičnik je odgovoren za snemanje zaslonskih posnetkov sistema glede na dogodke časovnika in miške, tako da nastavi kavelj WH_MOUSE_LL.