వైల్డ్ ప్రెషర్ APT

తిరిగి 2019లో, మధ్యప్రాచ్యంలో పరిశ్రమ-సంబంధిత లక్ష్యాలకు వ్యతిరేకంగా పూర్తి స్థాయి ట్రోజన్ ముప్పును మోహరించే బెదిరింపు ప్రచారం ఈ ప్రాంతంలో ఇప్పటికే స్థాపించబడిన ముప్పు నటుల TTPలను (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) సరిపోల్చడంలో విఫలమైంది. ఫలితంగా, వైల్డ్ ప్రెషర్ అనే హోదాతో కొత్తగా స్థాపించబడిన ATP (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్‌కి ఇది ఆపాదించబడింది.

ఈ ప్రారంభ ఆపరేషన్ నుండి, హ్యాకర్లు తమ హానికరమైన సాధనాల ఆయుధాగారాన్ని విస్తరించడానికి మరియు మెరుగుపరచడానికి చాలా శ్రమను వెచ్చించారు. నిజానికి, WildPressure సంకేతాలను కలిగి ఉన్న కొత్త ప్రచారం ఇప్పుడు మునుపెన్నడూ చూడని అనేక మాల్వేర్ బెదిరింపులను అమలు చేస్తోంది, వాటిలో ఒకటి macOS సిస్టమ్‌లను రాజీ చేయగల సామర్థ్యం కలిగి ఉంది. బాధితులు మరోసారి మధ్యప్రాచ్యానికి చెందినవారు మరియు వారు చమురు మరియు గ్యాస్ రంగానికి సంబంధించినవారుగా తాత్కాలిక అంచనాతో ఉన్నారు.

వైల్డ్ ప్రెషర్ తన మౌలిక సదుపాయాలను కూడా వైవిధ్యపరిచింది. 2019 ఆపరేషన్ VPS (వర్చువల్ ప్రైవేట్ సర్వర్లు) కలిగి ఉంది, అయితే ప్రస్తుత ప్రచారంలో రాజీపడిన అనేక చట్టబద్ధమైన WordPress సైట్‌లు కూడా ఉన్నాయి. వాటిలో 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' మరియు 'hxxp://www.mozh[.]org.'

Milum ట్రోజన్

అసలు ట్రోజన్ ముప్పు వైల్డ్ ప్రెషర్ ద్వారా తొలగించబడింది. ఇది C++లో వ్రాయబడింది మరియు దాని కాన్ఫిగరేషన్ డేటా కోసం JSON ఆకృతిని ఉపయోగిస్తుంది. అదే ఫార్మాట్ కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌తో కమ్యూనికేషన్‌లో కూడా ఉపయోగించబడుతుంది. మిలమ్‌లో గమనించిన ఏకైక ఎన్‌క్రిప్షన్ RC4 అయితే ముప్పు ప్రతి బాధితునికి వేరే 64-బైట్ కీని ఉపయోగిస్తుంది. రాజీపడిన పరికరంలో, ట్రోజన్ అదృశ్య టూల్‌బార్ విండో రూపాన్ని తీసుకుంటుంది. అందుకున్న ఆదేశాలను అమలు చేయడం, సర్వర్‌కు డేటాను అప్‌లోడ్ చేయడం, ఫైల్ మరియు సిస్టమ్ వివరాలను పొందడం, సిస్టమ్ నుండి మిలమ్‌ను తొలగించే బ్యాచ్ స్క్రిప్ట్‌ను రూపొందించడం మరియు అమలు చేయడం అలాగే హ్యాకర్లు కొత్త వెర్షన్‌ను విడుదల చేస్తే దానినే అప్‌డేట్ చేయడం వంటి బెదిరింపు సామర్థ్యాలు ఉన్నాయి.

ది గార్డ్ ట్రోజన్

ఈ మాల్వేర్ బెదిరింపు పైథాన్‌లో వ్రాయబడింది మరియు Windows మరియు macOS సిస్టమ్‌లు రెండింటికీ హాని కలిగించవచ్చు. దీన్ని సృష్టిస్తున్నప్పుడు, WildPressure హ్యాకర్లు ఎక్కువగా స్ఫూర్తి పొంది, పబ్లిక్‌గా అందుబాటులో ఉండే థర్డ్-పార్టీ కోడ్‌పై ఆధారపడినట్లు తెలుస్తోంది. మొత్తంమీద ముప్పు ఇతర వైల్డ్‌ప్రెషర్ సాధనాలతో చాలా సారూప్యతలను పంచుకుంటుంది, ప్రత్యేకించి కోడింగ్ శైలి, దాని రూపకల్పన మరియు C2 కమ్యూనికేషన్ ప్రోటోకాల్ విషయానికి వస్తే. ఇన్ఫోసెక్ పరిశోధకులు గార్డ్ ట్రోజన్ ఇంకా యాక్టివ్ డెవలప్‌మెంట్‌లో ఉందని భావిస్తున్నారు.

MacOS పరికరాలలో ప్రత్యేకంగా యాక్టివేట్ చేయబడిన మొదటి ఫంక్షన్‌లలో ఒకటి ట్రోజన్ యొక్క మరొక ఉదాహరణ ఇప్పటికే అమలులో లేదా అని నిర్ధారించడం. నిలకడ విధానం అర్థమయ్యేలా కూడా భిన్నంగా ఉంటుంది. Windows పరికరాలలో, ట్రోజన్ RunOnce రిజిస్ట్రీ కీ సాఫ్ట్‌వేర్\Microsoft\Windows\CurrentVersion\RunOnce\gd_systemని సృష్టిస్తుంది. అయితే, MacOS సిస్టమ్‌ల కోసం, గార్డ్ XML డాక్యుమెంట్‌ను డీకోడ్ చేసి, ఆపై ఒక plist ఫైల్‌ను రూపొందిస్తుంది. మాల్వేర్ స్వయంచాలకంగా అమలు చేయడానికి $HOME/Library/LaunchAgents/com.apple.pyapple.plist వద్ద ఆ ఫైల్ యొక్క కంటెంట్‌లను ఉపయోగిస్తుంది. ముప్పు OS ఆధారంగా సిస్టమ్ గురించిన వివరాలను పొందేందుకు ప్రత్యేక పద్ధతులను కూడా ఉపయోగిస్తుంది. దాని సామర్థ్యాల విషయానికొస్తే, ఉల్లంఘించిన సిస్టమ్‌కు అదనపు ఫైల్‌లను డౌన్‌లోడ్ చేయమని, C2 సర్వర్‌కు ఆసక్తి ఉన్న ఫైల్‌లను అప్‌లోడ్ చేయడానికి, ఆదేశాలను అమలు చేయడానికి, కొత్త వెర్షన్‌ను పొందేందుకు లేదా సిస్టమ్ నుండి దాని జాడలను తొలగించడానికి క్లీనప్ రొటీన్‌ను నిర్వహించడానికి గార్డ్‌కు సూచించబడవచ్చు.

టండిస్ ట్రోజన్

టాండిస్ అనేది స్వీయ-డిక్రిప్టింగ్ VBScript ముప్పు. గార్డ్ ట్రోజన్‌తో పోలిస్తే, టాండిస్ కేవలం Windows సిస్టమ్‌లను మాత్రమే లక్ష్యంగా చేసుకుంటుంది మరియు WQL ప్రశ్నలపై ఎక్కువగా ఆధారపడుతుంది. అయితే, లేకపోతే, దాని కార్యాచరణ చాలావరకు గార్డ్ మరియు ఇతర వైల్డ్ ప్రెషర్ బెదిరింపులకు అనుగుణంగా ఉంటుంది. ఇది సిస్టమ్ రిజిస్ట్రీల ద్వారా నిలకడను సాధిస్తుంది మరియు రహస్యంగా ఆదేశాలను అమలు చేయగలదు, సిస్టమ్‌కు అదనపు పేలోడ్‌లను వదలడం, ఎంచుకున్న ఫైల్‌లను అప్‌లోడ్ చేయడం స్వయంగా నవీకరించడం, క్లీనప్ రొటీన్‌ను అమలు చేయడం మరియు హోస్ట్‌ని వేలిముద్ర వేయడం వంటివి చేయగలదు. మరింత ప్రత్యేకంగా, Tandis డిఫెండర్ మినహా ఇన్‌స్టాల్ చేయబడిన అన్ని భద్రతా ఉత్పత్తుల కోసం చూస్తుంది.

హానికరమైన C++ ప్లగిన్‌లు

C++లో వ్రాయబడిన అనేక సరళమైన ఇంటర్‌కనెక్టడ్ మాడ్యూల్స్ కూడా కనుగొనబడ్డాయి. అవి ఒక ఆర్కెస్ట్రేటర్ మరియు నిర్దిష్ట పనులను చేసే అనేక ప్లగిన్‌లను కలిగి ఉంటాయి. ఉల్లంఘించిన పరికరంలో 'thumbnail.dat' అనే కాన్ఫిగరేషన్ ఫైల్ ఉందో లేదో ప్రధాన మాడ్యూల్ (ఆర్కెస్ట్రాటర్) తనిఖీ చేస్తుంది. ఈ ఫైల్ యొక్క ఖచ్చితమైన స్థానం Windows OS యొక్క సంస్కరణపై ఆధారపడి మారుతుంది. ఆర్కెస్ట్రేటర్ ప్రతి రెండు నిమిషాలకు నడుస్తుంది మరియు నిర్దిష్ట ప్లగ్ఇన్‌ని అమలు చేయడానికి అవసరమైన సమాచారం కోసం కాన్ఫిగరేషన్ ఫైల్‌ను స్కాన్ చేస్తుంది.

పాడైన ప్లగిన్‌లు DLLల రూపాన్ని తీసుకుంటాయి. కనుగొనబడిన ప్లగిన్‌లలో ఒకటి WQL ప్రశ్నల ద్వారా సిస్టమ్ గురించి చాలా వివరణాత్మక సమాచారాన్ని పొందగలదు. సేకరించిన డేటాలో OS వెర్షన్, ఇన్‌స్టాల్ చేయబడిన OS హాట్‌ఫిక్స్‌లు, BIOS మరియు HDD తయారీదారులు, ఇన్‌స్టాల్ చేయబడిన మరియు ప్రస్తుతం నడుస్తున్న సాఫ్ట్‌వేర్ ఉత్పత్తులు, ఇన్‌స్టాల్ చేయబడిన మరియు రన్ అవుతున్న భద్రతా ఉత్పత్తులు, వినియోగదారు ఖాతాలు, నెట్‌వర్క్ అడాప్టర్‌ల సెట్టింగ్‌లు మరియు మరిన్ని ఉన్నాయి. రెండు అదనపు ప్లగిన్‌లు కీలాగింగ్ రొటీన్‌లను ఏర్పాటు చేయడంలో పని చేస్తాయి. మొదటిది WH_KEYBOARD_LL హుక్‌ను సెట్ చేస్తుంది మరియు కీస్ట్రోక్‌లను క్యాప్చర్ చేయగలదు, అలాగే క్లిప్‌బోర్డ్ కంటెంట్ మరియు WIndows శీర్షికలను అడ్డగించగలదు. WH_MOUSE_LL హుక్‌ని సెట్ చేయడం ద్వారా టైమర్ మరియు మౌస్ ఈవెంట్‌లను బట్టి సిస్టమ్ స్క్రీన్‌షాట్‌లను తీయడానికి ఇతర ప్లగ్ఇన్ బాధ్యత వహిస్తుంది.