WildPressure APT

Tillbaka i 2019 misslyckades en hotande kampanj med ett fullfjädrat trojansk hot mot industrirelaterade mål i Mellanöstern med TTP: erna (taktik, teknik och procedurer) för de redan etablerade hotaktörerna i regionen. Som ett resultat tillskrevs det en nyetablerad ATP-grupp (Advanced Persistent Threat) -grupp med beteckningen WildPressure.

Sedan denna första operation verkar hackarna ha spenderat en hel del ansträngningar för att utöka och förbättra sin arsenal av skadliga verktyg. Faktum är att en ny kampanj som bär tecknen på WildPressure nu distribuerar flera aldrig tidigare sett malwarehot, varav en kan kompromissa med macOS-system. Offren är återigen från Mellanöstern och med en preliminär uppskattning av att de är relaterade till olje- och gassektorn.

WildPressure har också diversifierat sin infrastruktur. Operationen 2019 bestod av VPS (Virtual Private Servers) medan den aktuella kampanjen också innehåller flera legitima WordPress-webbplatser som har äventyrats. Bland dem finns 'hxxp: // adelice-formation [.] Eu,' 'hxxp: // ricktallis [.] Com / news,' 'hxxp: // whatismyserver123456 [.] Com,' 'hxxp: // www. glisru [.] eu, 'och' hxxp: //www.mozh [.] org. '

Den Milum Trojan

Det ursprungliga Trojanhotet tappades av WildPressure. Den är skriven i C ++ och använder JSON-format för konfigurationsdata. Samma format används också i kommunikationen med Command-and-Control (C2, C&C) -servern. Den enda kryptering som observerats i Milum är RC4 men hotet använder en annan 64-byte-nyckel för varje offer. På den komprometterade enheten tar Trojan formen av ett osynligt verktygsfält. Dess hotfunktioner inkluderar att utföra mottagna kommandon, ladda upp data till servern, få fil- och systemdetaljer, generera och köra ett batch-skript som tar bort Milum från systemet samt att uppdatera sig själv om en ny version släpps av hackarna.

Guard Trojan

Detta skadliga hot är skrivet i Python och kan infektera både Windows- och macOS-system. Det verkar som om WildPressure-hackarna under skapandet var starkt inspirerade och förlitade sig på allmänt tillgänglig tredjepartskod. Sammantaget delar hotet en hel del likheter med de andra WildPressure-verktygen, särskilt när det gäller kodningsstilen, dess design och C2-kommunikationsprotokollet. Infosec-forskare tror att Guard Trojan fortfarande är under aktiv utveckling.

En av de första funktionerna som aktiveras specifikt på macOS-enheter är att avgöra om en annan instans av Trojan inte redan körs. Uthållighetsmekanismen är förståeligt också annorlunda. På Windows-enheter skapar Trojan en RunOnce-registernyckel Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. För macOS-system avkodar Guard dock ett XML-dokument och genererar sedan en plist-fil. Skadlig programvara använder sedan innehållet i den filen på $ HOME / Library / LaunchAgents / com.apple.pyapple.plist för att automatiskt köra sig själv. Hotet använder också separata metoder för att få information om systemet beroende på operativsystem. När det gäller dess möjligheter kan Guard instrueras att ladda ner ytterligare filer till det trasiga systemet, ladda upp filer av intresse till C2-servern, utföra kommandon, hämta en ny version eller utföra en rengöringsrutin för att ta bort spår från systemet.

Den Tandis trojan

Tandis är ett självdekrypterande VBScript-hot. Jämfört med Guard Trojan riktar Tandis endast Windows-system och förlitar sig starkt på WQL-frågor. Men i övrigt överensstämmer dess funktionalitet till stor del med Guard och de andra WildPressure-hoten. Det uppnår uthållighet via systemregister och kan smygta kommandon, släppa ytterligare nyttolaster till systemet, ladda upp valda filer som uppdaterar sig själv, köra en rengöringsrutin och fingeravtrycka värden. Mer specifikt letar Tandis efter alla installerade säkerhetsprodukter med undantag av Defender.

Skadliga C ++ - plugins

Flera förenklade sammankopplade moduler skrivna i C ++ har också upptäckts. De består av en Orchestrator och flera plugins som utför specifika uppgifter. Huvudmodulen (Orchestrator) kontrollerar om en konfigurationsfil med namnet 'thumbnail.dat' finns på den brutna enheten. Den exakta platsen för den här filen varierar beroende på versionen av Windows OS. Orchestrator körs varannan minut och skannar konfigurationsfilen för den information som krävs för att köra ett specifikt plugin.

De skadade pluginsna har formen av DLL-filer. En av de upptäckta pluginsna kan erhålla extremt detaljerad information om systemet via WQL-frågor. Den samlade informationen inkluderar OS-versionen, installerade OS-snabbkorrigeringar, BIOS- och HDD-tillverkare, alla installerade och för närvarande körande programvaruprodukter, installerade och körande säkerhetsprodukter, användarkonton, nätverkskortinställningar och mer. Ytterligare två plugins har till uppgift att skapa rutiner för keylogging. Den första ställer in en WH_KEYBOARD_LL-krok och kan sedan fånga tangenttryckningar samt fånga urklippsinnehåll och WIndows-titlar. Det andra pluginet ansvarar för att ta skärmdumpar av systemet beroende på timer och mushändelser genom att ställa in en WH_MOUSE_LL-krok.