WildPressure APT

2019'da, Orta Doğu'daki endüstri ile ilgili hedeflere karşı tam teşekküllü bir Truva tehdidi dağıtan bir tehdit kampanyası, bölgede halihazırda kurulmuş tehdit aktörlerinin TTP'leri (Taktikler, Teknikler ve Prosedürler) ile eşleşmedi. Sonuç olarak, WildPressure adı verilen yeni kurulan bir ATP (Gelişmiş Kalıcı Tehdit) grubuna atfedildi.

Bu ilk operasyondan bu yana, bilgisayar korsanları, zararlı araç cephaneliklerini genişletmek ve geliştirmek için oldukça fazla çaba harcadılar. Gerçekten de, WildPressure'ın işaretlerini taşıyan yeni bir kampanya, biri macOS sistemlerinden ödün verebilen daha önce hiç görülmemiş birkaç kötü amaçlı yazılım tehdidini dağıtıyor. Kurbanlar bir kez daha Orta Doğu'dan ve petrol ve gaz sektörüyle ilgili olduklarına dair kesin olmayan bir tahminle.

WildPressure ayrıca altyapısını çeşitlendirdi. 2019 operasyonu VPS'den (Sanal Özel Sunucular) oluşurken, mevcut kampanya ayrıca güvenliği ihlal edilmiş birkaç meşru WordPress sitesini de içeriyor. Bunlar arasında 'hxxp://adelice-formation[.]eu,' 'hxxp://ricktallis[.]com/news,' 'hxxp://whatismyserver123456[.]com', 'hxxp://www. glisru[.]eu,' ve 'hxxp://www.mozh[.]org.'

Milum Truva

Orijinal Truva tehdidi WildPressure tarafından düşürüldü. C++ ile yazılmıştır ve yapılandırma verileri için JSON biçimini kullanır. Aynı format Komut ve Kontrol (C2, C&C) sunucusuyla iletişimde de kullanılır. Milum'da gözlemlenen tek şifreleme RC4'tür, ancak tehdit her kurban için farklı bir 64 baytlık anahtar kullanır. Güvenliği ihlal edilmiş cihazda Truva Atı, görünmez bir araç çubuğu penceresi şeklini alır. Tehdit edici yetenekleri arasında, alınan komutları yürütmek, sunucuya veri yüklemek, dosya ve sistem ayrıntılarını almak, Milum'u sistemden kaldıran bir toplu komut dosyası oluşturmak ve yürütmek ve bilgisayar korsanları tarafından yeni bir sürüm yayınlanırsa kendini güncellemek yer alır.

Muhafız Truva Atı

Bu kötü amaçlı yazılım tehdidi Python'da yazılmıştır ve hem Windows hem de macOS sistemlerine bulaşabilir. Görünüşe göre, WildPressure bilgisayar korsanları, onu oluştururken büyük ölçüde ilham aldı ve halka açık üçüncü taraf koduna güvendi. Genel olarak tehdit, özellikle kodlama stili, tasarımı ve C2 iletişim protokolü söz konusu olduğunda, diğer WildPressure araçlarıyla oldukça fazla benzerlik paylaşıyor. Infosec araştırmacıları, Muhafız Truva Atı'nın hala aktif olarak geliştirilme aşamasında olduğuna inanıyor.

Özellikle macOS cihazlarında etkinleştirilen ilk işlevlerden biri, Truva atının başka bir örneğinin halihazırda çalışıp çalışmadığını belirlemektir. Kalıcılık mekanizması da anlaşılır şekilde farklıdır. Windows cihazlarda, Truva Atı bir RunOnce kayıt defteri anahtarı Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system oluşturur. Ancak macOS sistemleri için Guard, bir XML belgesinin kodunu çözer ve ardından bir plist dosyası oluşturur. Kötü amaçlı yazılım daha sonra kendini otomatik olarak çalıştırmak için $HOME/Library/LaunchAgents/com.apple.pyapple.plist adresindeki o dosyanın içeriğini kullanır. Tehdit, işletim sistemine bağlı olarak sistemle ilgili ayrıntıları elde etmek için ayrı yöntemler de kullanır. Yeteneklerine gelince, Guard'a, ihlal edilen sisteme ek dosyalar indirmesi, ilgili dosyaları C2 sunucusuna yüklemesi, komutları yürütmesi, yeni bir sürüm getirmesi veya izlerini sistemden kaldırmak için bir temizleme rutini gerçekleştirmesi talimatı verilebilir.

Tandis Truva

Tandis, kendi kendini çözen bir VBScript tehdididir. Guard Trojan ile karşılaştırıldığında, Tandis yalnızca Windows sistemlerini hedefler ve ağırlıklı olarak WQL sorgularına dayanır. Ancak, aksi takdirde, işlevselliği Guard ve diğer WildPressure tehditleriyle büyük ölçüde tutarlıdır. Sistem kayıtları aracılığıyla kalıcılık elde eder ve gizlice komutları yürütebilir, sisteme ek yükler bırakarak, seçilen dosyaları yükleyerek kendini güncelleyebilir, bir temizleme rutini çalıştırabilir ve ana bilgisayarın parmak izini alabilir. Daha spesifik olarak Tandis, Defender hariç tüm kurulu güvenlik ürünlerini arar.

Kötü amaçlı C++ eklentileri

C++ ile yazılmış birkaç basit, birbirine bağlı modül de keşfedilmiştir. Bir Orkestratör ve belirli görevleri yerine getiren birkaç eklentiden oluşurlar. Ana modül (Orkestratör), ihlal edilen cihazda 'thumbnail.dat' adlı bir yapılandırma dosyasının bulunup bulunmadığını kontrol eder. Bu dosyanın tam konumu, Windows işletim sisteminin sürümüne bağlı olarak değişir. Orkestratör her iki dakikada bir çalışır ve belirli bir eklentiyi yürütmek için gerekli bilgiler için yapılandırma dosyasını tarar.

Bozuk eklentiler DLL biçimini alır. Keşfedilen eklentilerden biri, WQL sorguları aracılığıyla sistem hakkında son derece ayrıntılı bilgiler elde etme yeteneğine sahiptir. Toplanan veriler, işletim sistemi sürümünü, yüklü işletim sistemi düzeltmelerini, BIOS ve HDD üreticilerini, tüm yüklü ve şu anda çalışan yazılım ürünlerini, yüklü ve çalışan güvenlik ürünlerini, kullanıcı hesaplarını, ağ bağdaştırıcı ayarlarını ve daha fazlasını içerir. İki ek eklenti, keylogging rutinleri oluşturmakla görevlendirilir. İlki bir WH_KEYBOARD_LL kancası ayarlar ve ardından tuş vuruşlarını yakalayabilir ve pano içeriğini ve WIndows başlıklarını yakalayabilir. Diğer eklenti, bir WH_MOUSE_LL kancası ayarlayarak zamanlayıcı ve fare olaylarına bağlı olarak sistemin ekran görüntülerini almaktan sorumludur.