Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Advanced Persistent Threat (APT) Wild áp lực APT

Wild áp lực APT

Đến năm Mezo năm Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Trở lại năm 2019, một chiến dịch đe dọa triển khai mối đe dọa Trojan chính thức chống lại các mục tiêu liên quan đến ngành ở Trung Đông đã không phù hợp với các TTP (Chiến thuật, Kỹ thuật và Quy trình) của các tác nhân đe dọa đã được thiết lập trong khu vực. Kết quả là, nó được quy cho một nhóm ATP (Mối đe dọa liên tục nâng cao) mới được thành lập với tên gọi là WildPressure.

Kể từ hoạt động ban đầu này, các tin tặc dường như đã dành khá nhiều nỗ lực để mở rộng và cải thiện kho công cụ độc hại của chúng. Thật vậy, một chiến dịch mới mang dấu hiệu của WildPressure hiện đang triển khai một số mối đe dọa phần mềm độc hại chưa từng thấy trước đây, một trong số đó có khả năng xâm phạm hệ thống macOS. Các nạn nhân một lần nữa đến từ Trung Đông và với ước tính dự kiến họ có liên quan đến lĩnh vực dầu khí.

WildPressure cũng đã đa dạng hóa cơ sở hạ tầng của mình. Hoạt động năm 2019 bao gồm VPS (Máy chủ riêng ảo) trong khi chiến dịch hiện tại cũng bao gồm một số trang web WordPress hợp pháp đã bị xâm phạm. Trong số đó có 'hxxp: // adelice-shape [.] Eu,' 'hxxp: // ricktallis [.] Com / news,' 'hxxp: // whaariesyserver123456 [.] Com,' 'hxxp: // www. glisru [.] eu, 'và' hxxp: //www.mozh [.] org. '

Các Milum Trojan

Mối đe dọa Trojan ban đầu đã bị loại bỏ bởi WildPressure. Nó được viết bằng C ++ và sử dụng định dạng JSON cho dữ liệu cấu hình của nó. Định dạng tương tự cũng được sử dụng trong giao tiếp với máy chủ Command-and-Control (C2, C&C). Mã hóa duy nhất được quan sát thấy trong Milum là RC4 nhưng mối đe dọa sử dụng một khóa 64 byte khác nhau cho mỗi nạn nhân. Trên thiết bị bị xâm nhập, Trojan có dạng một cửa sổ thanh công cụ vô hình. Các khả năng đe dọa của nó bao gồm thực hiện các lệnh đã nhận, tải dữ liệu lên máy chủ, lấy thông tin chi tiết về hệ thống và tệp, tạo và thực thi một tập lệnh hàng loạt loại bỏ Milum khỏi hệ thống cũng như tự cập nhật nếu một phiên bản mới được phát hành bởi tin tặc.

Trojan bảo vệ

Mối đe dọa phần mềm độc hại này được viết bằng Python và có thể lây nhiễm sang cả hệ thống Windows và macOS. Có vẻ như trong khi tạo ra nó, các tin tặc WildPressure đã rất lấy cảm hứng và dựa vào mã của bên thứ ba có sẵn công khai. Nhìn chung, mối đe dọa có khá nhiều điểm tương đồng với các công cụ WildPressure khác, đặc biệt là khi nói đến phong cách mã hóa, thiết kế của nó và giao thức truyền thông C2. Các nhà nghiên cứu của Infosec tin rằng Guard Trojan vẫn đang được phát triển tích cực.

Một trong những chức năng đầu tiên được kích hoạt đặc biệt trên thiết bị macOS là xác định xem một phiên bản Trojan khác chưa chạy hay không. Cơ chế bền bỉ cũng khác nhau. Trên các thiết bị Windows, Trojan tạo khóa đăng ký RunOnce Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. Tuy nhiên, đối với các hệ thống macOS, Guard giải mã một tài liệu XML và sau đó tạo một tệp plist. Sau đó, phần mềm độc hại sử dụng nội dung của tệp đó tại $ HOME / Library / LaunchAgents / com.apple.pyapple.plist để tự động chạy. Mối đe dọa cũng sử dụng các phương pháp riêng biệt để lấy thông tin chi tiết về hệ thống tùy thuộc vào hệ điều hành. Về khả năng của nó, Guard có thể được hướng dẫn tải xuống các tệp bổ sung vào hệ thống bị vi phạm, tải các tệp quan tâm lên máy chủ C2, thực hiện lệnh, tìm nạp phiên bản mới hoặc thực hiện quy trình dọn dẹp để xóa dấu vết của nó khỏi hệ thống.

Các Tandis Trojan

Tandis là một mối đe dọa VBScript tự giải mã. So với Guard Trojan, Tandis chỉ nhắm mục tiêu các hệ thống Windows và chủ yếu dựa vào các truy vấn WQL. Tuy nhiên, mặt khác, chức năng của nó phần lớn phù hợp với chức năng của Guard và các mối đe dọa WildPressure khác. Nó đạt được sự bền bỉ thông qua đăng ký hệ thống và có khả năng lén lút thực hiện các lệnh, giảm tải bổ sung cho hệ thống, tải lên các tệp đã chọn tự cập nhật, chạy quy trình dọn dẹp và lấy dấu vân tay của máy chủ. Cụ thể hơn, Tandis tìm kiếm tất cả các sản phẩm bảo mật đã cài đặt ngoại trừ Defender.

Các plugin C ++ độc hại

Một số mô-đun được kết nối với nhau đơn giản được viết bằng C ++ cũng đã được phát hiện. Chúng bao gồm một Orchestrator và một số plugin thực hiện các tác vụ cụ thể. Mô-đun chính (Orchestrator) kiểm tra xem tệp cấu hình có tên 'thumbnail.dat' có trên thiết bị bị vi phạm hay không. Vị trí chính xác của tệp này khác nhau tùy thuộc vào phiên bản của Hệ điều hành Windows. Orchestrator chạy hai phút một lần và quét tệp cấu hình để tìm thông tin cần thiết để thực thi một plugin cụ thể.

Các plugin bị hỏng có dạng DLL. Một trong những plugin được phát hiện có khả năng lấy thông tin cực kỳ chi tiết về hệ thống thông qua các truy vấn WQL. Dữ liệu được thu thập bao gồm phiên bản hệ điều hành, các bản sửa lỗi hệ điều hành đã cài đặt, nhà sản xuất BIOS và ổ cứng, tất cả các sản phẩm phần mềm đã cài đặt và hiện đang chạy, các sản phẩm bảo mật đã cài đặt và đang chạy, tài khoản người dùng, cài đặt bộ điều hợp mạng và hơn thế nữa. Hai phần bổ sung bổ sung được giao nhiệm vụ thiết lập các thói quen ghi phím. Cái đầu tiên đặt móc WH_KEYBOARD_LL và sau đó có thể ghi lại các lần gõ phím cũng như chặn nội dung khay nhớ tạm và tiêu đề WIndows. Plugin khác chịu trách nhiệm chụp ảnh màn hình của hệ thống tùy thuộc vào bộ đếm thời gian và sự kiện chuột bằng cách thiết lập móc WH_MOUSE_LL.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...