Threat Database Advanced Persistent Threat (APT) ВилдПрессуре АПТ

ВилдПрессуре АПТ

Још 2019. године, претећа кампања која је применила потпуну тројанску претњу против циљева повезаних са индустријом на Блиском истоку није успела да се подудара са ТТП-овима (тактике, технике и процедуре) већ успостављених актера претњи у региону. Као резултат тога, приписан је новооснованој АТП (Адванцед Персистент Тхреат) групи која је добила ознаку ВилдПрессуре.

Од ове почетне операције, изгледа да су хакери уложили доста труда да прошире и побољшају свој арсенал штетних алата. Заиста, нова кампања која носи знаке ВилдПрессуре-а сада примењује неколико досад невиђених претњи од малвера, од којих је једна способна да угрози мацОС системе. Жртве су поново са Блиског истока и уз привремену процену да су повезане са сектором нафте и гаса.

ВилдПрессуре је такође диверзификовао своју инфраструктуру. Операција за 2019. се састојала од ВПС-а (виртуелних приватних сервера), док тренутна кампања такође укључује неколико легитимних ВордПресс сајтова који су компромитовани. Међу њима су 'хккп://аделице-форматион[.]еу,' 'хккп://рицкталлис[.]цом/невс,' 'хккп://вхатисмисервер123456[.]цом,' 'хккп://ввв. глисру[.]еу,' и 'хккп://ввв.мозх[.]орг.'

Милум Тројанац

ВилдПрессуре је одбацио оригиналну тројанску претњу. Написан је у Ц++ и користи ЈСОН формат за своје конфигурационе податке. Исти формат се такође користи у комуникацији са сервером за команду и контролу (Ц2, Ц&Ц). Једина енкрипција примећена у Милуму је РЦ4, али претња користи другачији кључ од 64 бајта за сваку жртву. На компромитованом уређају, тројанац има облик невидљивог прозора на траци са алаткама. Његове претеће могућности укључују извршавање примљених команди, отпремање података на сервер, добијање података о фајлу и систему, генерисање и извршавање групне скрипте која уклања Милум из система, као и само ажурирање ако хакери објаве нову верзију.

Тхе Гуард Тројан

Ова претња од малвера је написана у Питхон-у и може да зарази и Виндовс и мацОС системе. Чини се да су док су га креирали, хакери ВилдПрессуре-а били у великој мери инспирисани и ослањали се на јавно доступан код треће стране. Све у свему, претња има доста сличности са другим ВилдПрессуре алатима, посебно када је у питању стил кодирања, његов дизајн и Ц2 комуникациони протокол. Истраживачи Инфосец-а верују да је Гуард Тројанац још увек у активном развоју.

Једна од првих функција која се посебно активира на мацОС уређајима је да се утврди да ли друга инстанца тројанца већ није покренута. Механизам постојаности је разумљиво такође другачији. На Виндовс уређајима, тројанац креира РунОнце кључ регистратора Софтваре\Мицрософт\Виндовс\ЦуррентВерсион\РунОнце\гд_систем. За мацОС системе, међутим, Гуард декодира КСМЛ документ, а затим генерише плист датотеку. Малвер затим користи садржај те датотеке на адреси $ХОМЕ/Либрари/ЛаунцхАгентс/цом.аппле.пиаппле.плист да би се аутоматски покренуо. Претња такође користи посебне методе за добијање детаља о систему у зависности од ОС-а. Што се тиче његових могућности, Гуард-у може бити наложено да преузме додатне датотеке на оштећени систем, отпреми датотеке од интереса на Ц2 сервер, изврши команде, преузме нову верзију или изврши рутину чишћења како би уклонио своје трагове из система.

Тандис Тројанац

Тандис је ВБСцрипт претња која се самодешифрује. У поређењу са Гуард Тројанцем, Тандис циља само на Виндовс системе и у великој мери се ослања на ВКЛ упите. Међутим, иначе, његова функционалност је у великој мери конзистентна са Гуард-ом и другим претњама ВилдПрессуре-а. Постиже постојаност преко системских регистара и способан је да тајно извршава команде, испушта додатни терет у систем, учитава одабране датотеке и сам ажурира, покреће рутину чишћења и узима отиске прста са хоста. Тачније, Тандис тражи све инсталиране безбедносне производе са изузетком Дефендер-а.

Злонамерни Ц++ додаци

Такође је откривено неколико поједностављених међусобно повезаних модула написаних у Ц++. Састоје се од Оркестратора и неколико додатака који обављају одређене задатке. Главни модул (Орцхестратор) проверава да ли је конфигурациона датотека под називом 'тхумбнаил.дат' присутна на оштећеном уређају. Тачна локација ове датотеке варира у зависности од верзије оперативног система Виндовс. Орцхестратор се покреће свака два минута и скенира конфигурациону датотеку у потрази за потребним информацијама да би извршио одређени додатак.

Оштећени додаци имају облик ДЛЛ-ова. Један од откривених додатака је способан да добије изузетно детаљне информације о систему путем ВКЛ упита. Прикупљени подаци обухватају верзију ОС-а, инсталиране хитне исправке за ОС, произвођаче БИОС-а и ХДД-а, све инсталиране и тренутно покренуте софтверске производе, инсталиране и покренуте безбедносне производе, корисничке налоге, подешавања мрежних адаптера и друго. Два додатна додатка имају задатак да успоставе рутине за вођење кључева. Први поставља закачицу ВХ_КЕИБОАРД_ЛЛ и затим може да ухвати притиске на тастере, као и да пресреће садржај клипборда и наслове ВИндовс-а. Други додатак је одговоран за прављење снимака екрана система у зависности од догађаја тајмера и миша постављањем ВХ_МОУСЕ_ЛЛ куке.

У тренду

Најгледанији

Учитавање...