WildPressure APT
Noong 2019, nabigong tumugma sa mga TTP (Tactics, Techniques, and Procedures) ang isang nagbabantang campaign na nagde-deploy ng ganap na banta ng Trojan laban sa mga target na nauugnay sa industriya sa Middle East sa mga TTP (Tactics, Techniques, and Procedures) ng mga naitatag nang banta sa rehiyon. Bilang resulta, naiugnay ito sa isang bagong tatag na pangkat ng ATP (Advanced Persistent Threat) na binigyan ng pagtatalagang WildPressure.
Mula noong unang operasyon na ito, lumilitaw na ang mga hacker ay gumugol ng maraming pagsisikap sa pagpapalawak at pagpapabuti ng kanilang arsenal ng mga nakakapinsalang tool. Sa katunayan, ang isang bagong kampanya na may mga palatandaan ng WildPressure ay nagde-deploy na ngayon ng ilang hindi pa nakikitang banta ng malware, na isa sa mga ito ay may kakayahang ikompromiso ang mga macOS system. Ang mga biktima ay muling mula sa Gitnang Silangan at may pansamantalang pagtatantya na may kaugnayan sila sa sektor ng langis at gas.
Ang WildPressure ay pinag-iba rin ang imprastraktura nito. Ang 2019 na operasyon ay binubuo ng VPS (Virtual Private Servers) habang ang kasalukuyang kampanya ay kinabibilangan din ng ilang mga lehitimong WordPress site na nakompromiso. Kabilang sa mga ito ang 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com,' 'hxxp://www. glisru[.]eu,' at 'hxxp://www.mozh[.]org.'
Ang Milum Trojan
Ang orihinal na banta ng Trojan ay ibinaba ng WildPressure. Ito ay nakasulat sa C++ at gumagamit ng JSON format para sa configuration data nito. Ang parehong format ay ginagamit din sa pakikipag-ugnayan sa Command-and-Control (C2, C&C) server. Ang tanging encryption na naobserbahan sa Milum ay RC4 ngunit ang banta ay gumagamit ng ibang 64-byte na key para sa bawat biktima. Sa nakompromisong device, ang Trojan ay nasa anyo ng isang invisible toolbar window. Kasama sa mga nagbabantang kakayahan nito ang pagpapatupad ng mga natanggap na command, pag-upload ng data sa server, pagkuha ng mga detalye ng file at system, pagbuo at pagpapatupad ng isang batch script na nag-aalis ng Milum mula sa system pati na rin ang pag-update sa sarili nito kung may bagong bersyon na inilabas ng mga hacker.
Ang Guard Trojan
Ang banta ng malware na ito ay nakasulat sa Python at maaaring makahawa sa parehong Windows at macOS system. Mukhang habang nililikha ito, ang mga hacker ng WildPressure ay labis na na-inspirasyon at umasa sa pampublikong available na third-party na code. Sa pangkalahatan, ang banta ay nagbabahagi ng maraming pagkakatulad sa iba pang mga tool ng WildPressure lalo na pagdating sa istilo ng coding, disenyo nito, at protocol ng komunikasyon ng C2. Naniniwala ang mga mananaliksik ng Infosec na ang Guard Trojan ay nasa ilalim pa rin ng aktibong pag-unlad.
Ang isa sa mga unang function na partikular na na-activate sa mga macOS device ay upang matukoy kung ang isa pang pagkakataon ng Trojan ay hindi pa tumatakbo. Ang mekanismo ng pagtitiyaga ay maliwanag na naiiba din. Sa mga Windows device, lumilikha ang Trojan ng RunOnce registry key Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Para sa mga macOS system, gayunpaman, ang Guard ay nagde-decode ng isang XML na dokumento at pagkatapos ay bumubuo ng isang plist file. Pagkatapos ay ginagamit ng malware ang mga nilalaman ng file na iyon sa $HOME/Library/LaunchAgents/com.apple.pyapple.plist upang awtomatikong patakbuhin ang sarili nito. Gumagamit din ang banta ng magkakahiwalay na pamamaraan para sa pagkuha ng mga detalye tungkol sa system depende sa OS. Para sa mga kakayahan nito, maaaring turuan ang Guard na mag-download ng mga karagdagang file sa nalabag na system, mag-upload ng mga file ng interes sa C2 server, magsagawa ng mga command, kumuha ng bagong bersyon, o magsagawa ng cleanup routine upang alisin ang mga bakas nito sa system.
Ang Tandis Trojan
Ang Tandis ay isang self-decrypting na banta ng VBScript. Kung ikukumpara sa Guard Trojan, Windows system lang ang tina-target ni Tandis at lubos na umaasa sa mga query sa WQL. Gayunpaman, kung hindi, ang pag-andar nito ay higit na naaayon sa Guard at iba pang mga banta sa WildPressure. Nakakamit nito ang pagtitiyaga sa pamamagitan ng mga registry ng system at may kakayahang palihim na magsagawa ng mga utos, mag-drop ng mga karagdagang payload sa system, mag-upload ng mga napiling file na ina-update ang sarili nito, magpatakbo ng routine sa paglilinis, at mag-fingerprint sa host. Higit na partikular, hinahanap ng Tandis ang lahat ng naka-install na produkto ng seguridad maliban sa Defender.
Mga nakakahamak na plugin ng C++
Natuklasan din ang ilang simplistic interconnected modules na nakasulat sa C++. Binubuo ang mga ito ng isang Orchestrator at ilang mga plugin na gumaganap ng mga partikular na gawain. Tinitingnan ng pangunahing module (Orchestrator) kung mayroong configuration file na pinangalanang 'thumbnail.dat' sa nalabag na device. Ang eksaktong lokasyon ng file na ito ay nag-iiba depende sa bersyon ng Windows OS. Ang Orchestrator ay tumatakbo bawat dalawang minuto at ini-scan ang configuration file para sa kinakailangang impormasyon upang maisagawa ang isang partikular na plugin.
Ang mga sira na plugin ay nasa anyo ng mga DLL. Ang isa sa mga natuklasang plugin ay may kakayahang makakuha ng lubos na detalyadong impormasyon tungkol sa system sa pamamagitan ng mga query sa WQL. Kasama sa nakolektang data ang bersyon ng OS, mga naka-install na OS hotfix, mga tagagawa ng BIOS at HDD, lahat ng naka-install at kasalukuyang nagpapatakbo ng mga produkto ng software, naka-install at nagpapatakbo ng mga produktong panseguridad, mga user account, mga setting ng network adapter at higit pa. Dalawang karagdagang plugin ang nakatalaga sa pagtatatag ng mga gawain sa keylogging. Ang una ay nagtatakda ng WH_KEYBOARD_LL hook at pagkatapos ay makakapag-capture ng mga keystroke pati na rin ang humarang sa nilalaman ng clipboard at mga pamagat ng WIndows. Ang isa pang plugin ay may pananagutan sa pagkuha ng mga screenshot ng system depende sa timer at mouse na mga kaganapan sa pamamagitan ng pagtatakda ng WH_MOUSE_LL hook.
