WildPressure APT

ย้อนกลับไปในปี 2019 แคมเปญที่คุกคามซึ่งปรับใช้ภัยคุกคามโทรจันอย่างเต็มรูปแบบกับเป้าหมายที่เกี่ยวข้องกับอุตสาหกรรมในตะวันออกกลางไม่ตรงกับ TTP (กลยุทธ์ เทคนิค และขั้นตอน) ของผู้คุกคามที่มีอยู่แล้วในภูมิภาค ด้วยเหตุนี้ จึงมีสาเหตุมาจากกลุ่ม ATP (Advanced Persistent Threat) ที่จัดตั้งขึ้นใหม่โดยกำหนดให้เป็น WildPressure

นับตั้งแต่การดำเนินการครั้งแรกนี้ ดูเหมือนว่าแฮกเกอร์ได้ใช้ความพยายามอย่างมากในการขยายและปรับปรุงคลังเครื่องมือที่เป็นอันตราย อันที่จริง แคมเปญใหม่ที่มีสัญญาณของ WildPressure กำลังปรับใช้ภัยคุกคามมัลแวร์ที่ไม่เคยพบมาก่อนหลายตัว ซึ่งหนึ่งในนั้นสามารถประนีประนอมกับระบบ macOS ได้ เหยื่อรายนี้มาจากตะวันออกกลางอีกครั้ง โดยคาดว่าน่าจะเกี่ยวข้องกับภาคน้ำมันและก๊าซ

WildPressure ยังมีโครงสร้างพื้นฐานที่หลากหลาย การดำเนินการในปี 2019 ประกอบด้วย VPS (Virtual Private Servers) ในขณะที่แคมเปญปัจจุบันยังรวมถึงไซต์ WordPress ที่ถูกต้องตามกฎหมายหลายแห่งที่ถูกบุกรุก ในหมู่พวกเขาคือ 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' และ 'hxxp://www.mozh[.]org.'

Milum โทรจัน

ภัยคุกคามโทรจันดั้งเดิมถูกทิ้งโดย WildPressure มันเขียนด้วย C ++ และใช้รูปแบบ JSON สำหรับข้อมูลการกำหนดค่า รูปแบบเดียวกันนี้ยังใช้ในการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) การเข้ารหัสเดียวที่ตรวจพบใน Milum คือ RC4 แต่ภัยคุกคามใช้คีย์ 64 ไบต์ที่แตกต่างกันสำหรับเหยื่อแต่ละราย บนอุปกรณ์ที่ถูกบุกรุก โทรจันจะอยู่ในรูปแบบของหน้าต่างแถบเครื่องมือที่มองไม่เห็น ความสามารถที่คุกคามของมันรวมถึงการเรียกใช้คำสั่งที่ได้รับ การอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ รับรายละเอียดไฟล์และระบบ การสร้างและดำเนินการแบตช์สคริปต์ที่ลบ Milum ออกจากระบบ ตลอดจนอัปเดตตัวเองหากแฮกเกอร์ออกเวอร์ชันใหม่

ยามโทรจัน

ภัยคุกคามจากมัลแวร์นี้เขียนด้วยภาษา Python และสามารถแพร่ระบาดได้ทั้งระบบ Windows และ macOS ดูเหมือนว่าในขณะที่สร้างมันขึ้นมา แฮกเกอร์ WildPressure ได้รับแรงบันดาลใจอย่างมากและอาศัยรหัสบุคคลที่สามที่เปิดเผยต่อสาธารณะ โดยรวมแล้วภัยคุกคามมีความคล้ายคลึงกันค่อนข้างมากกับเครื่องมือ WildPressure อื่นๆ โดยเฉพาะอย่างยิ่งเมื่อพูดถึงรูปแบบการเข้ารหัส การออกแบบ และโปรโตคอลการสื่อสาร C2 นักวิจัยของ Infosec เชื่อว่า Guard Trojan ยังอยู่ระหว่างการพัฒนา

หนึ่งในฟังก์ชันแรกๆ ที่เปิดใช้งานเฉพาะบนอุปกรณ์ macOS คือการตรวจสอบว่าอินสแตนซ์อื่นของโทรจันยังไม่ได้ทำงานอยู่หรือไม่ กลไกการคงอยู่นั้นแตกต่างกันอย่างเห็นได้ชัด บนอุปกรณ์ Windows โทรจันจะสร้างคีย์รีจิสทรี RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system อย่างไรก็ตาม สำหรับระบบ macOS Guard จะถอดรหัสเอกสาร XML แล้วสร้างไฟล์ plist จากนั้นมัลแวร์จะใช้เนื้อหาของไฟล์นั้นที่ $HOME/Library/LaunchAgents/com.apple.pyapple.plist เพื่อเรียกใช้เองโดยอัตโนมัติ ภัยคุกคามยังใช้วิธีแยกกันเพื่อรับรายละเอียดเกี่ยวกับระบบโดยขึ้นอยู่กับระบบปฏิบัติการ สำหรับความสามารถของ Guard สามารถสั่งให้ดาวน์โหลดไฟล์เพิ่มเติมไปยังระบบที่ถูกละเมิด อัปโหลดไฟล์ที่สนใจไปยังเซิร์ฟเวอร์ C2 ดำเนินการคำสั่ง เรียกเวอร์ชันใหม่ หรือดำเนินการรูทีนการล้างข้อมูลเพื่อลบการสืบค้นกลับออกจากระบบ

แทนดิส โทรจัน

Tandis เป็นภัยคุกคาม VBScript ที่ถอดรหัสตัวเอง เมื่อเปรียบเทียบกับ Guard Trojan แล้ว Tandis กำหนดเป้าหมายเฉพาะระบบ Windows และอาศัยการสืบค้น WQL อย่างมาก อย่างไรก็ตาม มิฉะนั้น ฟังก์ชันการทำงานส่วนใหญ่สอดคล้องกับการทำงานของ Guard และภัยคุกคาม WildPressure อื่นๆ มันประสบความสำเร็จในการคงอยู่ผ่านการลงทะเบียนระบบและสามารถรันคำสั่งอย่างลับๆ ปล่อยเพย์โหลดเพิ่มเติมไปยังระบบ อัปโหลดไฟล์ที่เลือกอัปเดตตัวเอง เรียกใช้รูทีนการล้างข้อมูล และพิมพ์ลายนิ้วมือบนโฮสต์ โดยเฉพาะอย่างยิ่ง Tandis ค้นหาผลิตภัณฑ์ความปลอดภัยที่ติดตั้งทั้งหมด ยกเว้น Defender

ปลั๊กอิน C++ ที่เป็นอันตราย

นอกจากนี้ยังมีการค้นพบโมดูลที่เชื่อมต่อระหว่างกันแบบง่าย ๆ จำนวนมากที่เขียนด้วย C ++ ประกอบด้วย Orchestrator และปลั๊กอินหลายตัวที่ทำงานเฉพาะ โมดูลหลัก (Orchestrator) จะตรวจสอบว่าไฟล์การกำหนดค่าชื่อ 'thumbnail.dat' มีอยู่ในอุปกรณ์ที่ละเมิดหรือไม่ ตำแหน่งที่แน่นอนของไฟล์นี้จะแตกต่างกันไปตามเวอร์ชันของระบบปฏิบัติการ Windows Orchestrator ทำงานทุก ๆ สองนาทีและสแกนไฟล์การกำหนดค่าเพื่อหาข้อมูลที่จำเป็นเพื่อดำเนินการปลั๊กอินเฉพาะ

ปลั๊กอินที่เสียหายจะอยู่ในรูปแบบของ DLL ปลั๊กอินที่ค้นพบตัวหนึ่งสามารถรับข้อมูลโดยละเอียดเกี่ยวกับระบบผ่านการสืบค้น WQL ข้อมูลที่เก็บรวบรวมรวมถึงเวอร์ชันของระบบปฏิบัติการ โปรแกรมแก้ไขด่วนของระบบปฏิบัติการที่ติดตั้ง ผู้ผลิต BIOS และ HDD ผลิตภัณฑ์ซอฟต์แวร์ที่ติดตั้งและใช้งานอยู่ทั้งหมด ผลิตภัณฑ์ด้านความปลอดภัยที่ติดตั้งและใช้งาน บัญชีผู้ใช้ การตั้งค่าอะแดปเตอร์เครือข่าย และอื่นๆ ปลั๊กอินเพิ่มเติมสองตัวได้รับมอบหมายให้สร้างรูทีนการล็อกคีย์ อันแรกตั้งค่าเบ็ด WH_KEYBOARD_LL และสามารถจับภาพการกดแป้นพิมพ์รวมทั้งสกัดกั้นเนื้อหาคลิปบอร์ดและชื่อ WIndows ปลั๊กอินอื่นมีหน้าที่ถ่ายภาพหน้าจอของระบบขึ้นอยู่กับตัวจับเวลาและเหตุการณ์ของเมาส์โดยการตั้งค่าเบ็ด WH_MOUSE_LL