WildPressure APT

Në vitin 2019, një fushatë kërcënuese që vendoste një kërcënim të plotë trojan kundër objektivave të lidhura me industrinë në Lindjen e Mesme nuk arriti të përputhej me TTP-të (Taktika, Teknika dhe Procedura) të aktorëve tashmë të krijuar të kërcënimit në rajon. Si rezultat, ai iu atribuua një grupi të sapokrijuar ATP (Kërcënimi i Përparuar i Përparuar) me përcaktimin WildPressure.

Që nga ky operacion fillestar, hakerët duket se kanë shpenzuar mjaft përpjekje për të zgjeruar dhe përmirësuar arsenalin e tyre të mjeteve të dëmshme. Në të vërtetë, një fushatë e re që mban shenjat e WildPressure po vendos tani disa kërcënime malware të paparë kurrë më parë, njëri prej të cilëve është në gjendje të komprometojë sistemet macOS. Viktimat janë sërish nga Lindja e Mesme dhe me një vlerësim paraprak që kanë të bëjnë me sektorin e naftës dhe gazit.

WildPressure gjithashtu ka diversifikuar infrastrukturën e saj. Operacioni i vitit 2019 përbëhej nga VPS (Serverë Privatë Virtualë) ndërsa fushata aktuale përfshin gjithashtu disa sajte legjitime të WordPress që janë komprometuar. Midis tyre janë 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news, 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' dhe 'hxxp://www.mozh[.]org.'

Milum Trojan

Kërcënimi origjinal i Trojanit u hoq nga WildPressure. Është shkruar në C++ dhe përdor formatin JSON për të dhënat e konfigurimit të tij. I njëjti format përdoret gjithashtu në komunikimin me serverin Command-and-Control (C2, C&C). I vetmi kriptim i vërejtur në Milum është RC4, por kërcënimi përdor një çelës të ndryshëm 64-bajtë për secilën viktimë. Në pajisjen e komprometuar, Trojani merr formën e një dritareje të padukshme të shiritit të veglave. Aftësitë e tij kërcënuese përfshijnë ekzekutimin e komandave të marra, ngarkimin e të dhënave në server, marrjen e detajeve të skedarit dhe sistemit, gjenerimin dhe ekzekutimin e një skripti grumbull që heq Milum nga sistemi si dhe përditësimin e vetvetes nëse lëshohet një version i ri nga hakerët.

Trojani i Gardës

Ky kërcënim malware është shkruar në Python dhe mund të infektojë të dy sistemet Windows dhe macOS. Duket se gjatë krijimit të tij, hakerët WildPressure u frymëzuan shumë dhe u mbështetën në kodin e palëve të treta të disponueshëm publikisht. Në përgjithësi, kërcënimi ndan mjaft ngjashmëri me mjetet e tjera WildPressure, veçanërisht kur bëhet fjalë për stilin e kodimit, dizajnin e tij dhe protokollin e komunikimit C2. Studiuesit e Infosec besojnë se Trojani i Gardës është ende në zhvillim aktiv.

Një nga funksionet e para të aktivizuara posaçërisht në pajisjet macOS është të përcaktojë nëse një shembull tjetër i Trojanit nuk po funksionon tashmë. Mekanizmi i qëndrueshmërisë është i kuptueshëm gjithashtu i ndryshëm. Në pajisjet Windows, Trojani krijon një çelës regjistri RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Sidoqoftë, për sistemet macOS, Guard deshifron një dokument XML dhe më pas gjeneron një skedar plist. Malware më pas përdor përmbajtjen e atij skedari në $HOME/Library/LaunchAgents/com.apple.pyapple.plist për të ekzekutuar automatikisht vetë. Kërcënimi përdor gjithashtu metoda të veçanta për marrjen e detajeve rreth sistemit në varësi të sistemit operativ. Sa i përket aftësive të tij, Garda mund të udhëzohet të shkarkojë skedarë shtesë në sistemin e shkelur, të ngarkojë skedarë me interes në serverin C2, të ekzekutojë komanda, të marrë një version të ri ose të kryejë një rutinë pastrimi për të hequr gjurmët e tij nga sistemi.

Tandis Trojan

Tandis është një kërcënim vetë-deshifrues i VBScript. Krahasuar me Guard Trojan, Tandis synon vetëm sistemet Windows dhe mbështetet shumë në pyetjet WQL. Sidoqoftë, përndryshe, funksionaliteti i tij është kryesisht në përputhje me atë të Gardës dhe kërcënimeve të tjera të WildPressure. Ai arrin qëndrueshmëri nëpërmjet regjistrave të sistemit dhe është në gjendje të ekzekutojë në mënyrë të fshehtë komanda, të lëshojë ngarkesa shtesë në sistem, të ngarkojë skedarët e zgjedhur duke u përditësuar vetë, të ekzekutojë një rutinë pastrimi dhe të marrë gjurmët e gishtërinjve nga hosti. Më konkretisht, Tandis kërkon të gjitha produktet e instaluara të sigurisë me përjashtim të Defender.

Shtojca me qëllim të keq C++

Janë zbuluar gjithashtu disa module të thjeshtuara të ndërlidhura të shkruara në C++. Ato përbëhen nga një Orkestrator dhe disa shtojca që kryejnë detyra specifike. Moduli kryesor (Orkestratori) kontrollon nëse një skedar konfigurimi i quajtur 'thumbnail.dat' është i pranishëm në pajisjen e dëmtuar. Vendndodhja e saktë e këtij skedari ndryshon në varësi të versionit të Windows OS. Orkestratori funksionon çdo dy minuta dhe skanon skedarin e konfigurimit për informacionin e kërkuar për të ekzekutuar një shtesë specifike.

Shtojcat e korruptuara marrin formën e DLL-ve. Një nga shtojcat e zbuluara është në gjendje të marrë informacion jashtëzakonisht të detajuar rreth sistemit përmes pyetjeve WQL. Të dhënat e mbledhura përfshijnë versionin e OS, korrigjimet e instaluara të OS, prodhuesit e BIOS-it dhe HDD-ve, të gjitha produktet softuerike të instaluara dhe aktualisht në përdorim, produktet e sigurisë të instaluara dhe ekzekutuara, llogaritë e përdoruesve, cilësimet e përshtatësve të rrjetit dhe më shumë. Dy shtojca shtesë kanë për detyrë të krijojnë rutina të regjistrimit të tasteve. E para cakton një grep WH_KEYBOARD_LL dhe më pas mund të regjistrojë goditjet e tastieve, si dhe të përgjojë përmbajtjen e kujtesës së fragmenteve dhe titujt e Windows. Shtojca tjetër është përgjegjëse për marrjen e pamjeve të ekranit të sistemit në varësi të kohëmatësit dhe ngjarjeve të miut duke vendosur një goditje WH_MOUSE_LL.