WildPressure APT
Ще в 2019 році загрозлива кампанія, яка розгортала повноцінну троянську загрозу проти галузевих цілей на Близькому Сході, не збігалася з TTP (тактики, техніки та процедури) вже встановлених суб’єктів загрози в регіоні. У результаті він був віднесений до нещодавно створеної групи ATP (Advanced Persistent Threat), отримавши позначення WildPressure.
Після цієї початкової операції хакери, схоже, витратили чимало зусиль на розширення та покращення свого арсеналу шкідливих інструментів. Справді, нова кампанія, що має ознаки WildPressure, зараз розгортає кілька ніколи раніше не бачених загроз зловмисного програмного забезпечення, одна з яких здатна порушити системи macOS. Жертви знову з Близького Сходу і, за попередньою оцінкою, пов’язані з нафтогазовим сектором.
WildPressure також диверсифікував свою інфраструктуру. Операція 2019 року включала VPS (віртуальні приватні сервери), тоді як поточна кампанія також включає кілька законних сайтів WordPress, які були скомпрометовані. Серед них «hxxp://adelice-formation[.]eu», «hxxp://ricktallis[.]com/news», «hxxp://whatismyserver123456[.]com», «hxxp://www. glisru[.]eu" та "hxxp://www.mozh[.]org".
Milum Trojan
Початкова троянська загроза була вилучена WildPressure. Він написаний на C++ і використовує формат JSON для даних конфігурації. Цей же формат також використовується для зв’язку з сервером командно-управління (C2, C&C). Єдине шифрування, яке спостерігається в Milum, — це RC4, але загроза використовує інший 64-байтовий ключ для кожної жертви. На зламаному пристрої троян приймає форму невидимого вікна панелі інструментів. Його загрозливі можливості включають виконання отриманих команд, завантаження даних на сервер, отримання відомостей про файл і систему, створення та виконання пакетного сценарію, який видаляє Milum із системи, а також оновлення, якщо хакери випустять нову версію.
Гвардійський троян
Ця загроза зловмисного програмного забезпечення написана на Python і може заражати системи Windows і macOS. Схоже, що створюючи його, хакери WildPressure були дуже натхненні та покладалися на загальнодоступний сторонній код. Загалом загроза має багато схожості з іншими інструментами WildPressure, особливо коли мова йде про стиль кодування, його дизайн та протокол зв’язку C2. Дослідники Infosec вважають, що троян Guard все ще активно розробляється.
Однією з перших функцій, активованих спеціально на пристроях macOS, є визначення того, чи не запущено інший екземпляр трояна. Зрозуміло, що механізм збереження також відрізняється. На пристроях Windows троян створює розділ реєстру RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Однак для систем macOS Guard декодує XML-документ, а потім створює файл plist. Потім зловмисне програмне забезпечення використовує вміст цього файлу за адресою $HOME/Library/LaunchAgents/com.apple.pyapple.plist для автоматичного запуску. Загроза також використовує окремі методи для отримання інформації про систему залежно від ОС. Що стосується його можливостей, Guard можна доручити завантажувати додаткові файли до зламаної системи, завантажувати цікаві файли на сервер C2, виконувати команди, завантажувати нову версію або виконувати процедуру очищення, щоб видалити його сліди з системи.
TANDIS Trojan
Tandis — це загроза VBScript, що саморозшифровується. Порівняно з трояном Guard, Tandis націлений лише на системи Windows і в значній мірі покладається на запити WQL. Проте в іншому випадку його функціональність значною мірою відповідає функціональності Guard та інших загроз WildPressure. Він забезпечує стабільність за допомогою системних реєстрів і здатний приховано виконувати команди, передавати додаткові корисні навантаження в систему, завантажувати вибрані файли, оновлювати себе, запускати процедуру очищення та знімати відбитки пальців хоста. Точніше, Tandis шукає всі встановлені продукти безпеки, за винятком Defender.
Шкідливі плагіни C++
Також було виявлено кілька спрощених взаємопов’язаних модулів, написаних на C++. Вони складаються з Orchestrator і кількох плагінів, які виконують певні завдання. Головний модуль (Orchestrator) перевіряє, чи є файл конфігурації з назвою 'thumbnail.dat' на зламаному пристрої. Точне розташування цього файлу залежить від версії ОС Windows. Orchestrator запускається кожні дві хвилини і сканує файл конфігурації на наявність необхідної інформації для виконання певного плагіна.
Пошкоджені плагіни мають форму DLL. Один із виявлених плагінів здатний отримувати надзвичайно детальну інформацію про систему за допомогою WQL-запитів. Зібрані дані включають версію ОС, встановлені виправлення ОС, виробників BIOS і жорстких дисків, усі встановлені та запущені програмні продукти, встановлені та запущені продукти безпеки, облікові записи користувачів, налаштування мережевих адаптерів тощо. Двом додатковим плагінам поставлено завдання встановити підпрограми клавіатури. Перший встановлює хук WH_KEYBOARD_LL, а потім може захоплювати натискання клавіш, а також перехоплювати вміст буфера обміну та заголовки WIndows. Інший плагін відповідає за створення скріншотів системи в залежності від подій таймера та миші, встановлюючи хук WH_MOUSE_LL.
