WildPressure APT

早在 2019 年，一场针对中东行业相关目标部署成熟的木马威胁的威胁性活动未能与该地区已建立的威胁参与者的 TTP（战术、技术和程序）相匹配。因此，它被归于一个新成立的 ATP（高级持续威胁）小组，命名为 WildPressure。

自此初始操作以来，黑客似乎已经花费了大量精力来扩展和改进他们的有害工具库。事实上，一个带有 WildPressure 迹象的新活动现在正在部署几个前所未见的恶意软件威胁，其中一个能够危及 macOS 系统。受害者再次来自中东，初步估计他们与石油和天然气部门有关。

WildPressure 还对其基础设施进行了多元化。 2019 年的行动包括 VPS（虚拟专用服务器），而当前的活动还包括几个已被攻陷的合法 WordPress 网站。其中包括"hxxp://adelice-formation[.]eu"、"hxxp://ricktallis[.]com/news"、"hxxp://whatismyserver123456[.]com"、"hxxp://www"。 glisru[.]eu,' 和 'hxxp://www.mozh[.]org.'

该Milum木马

最初的特洛伊木马威胁是由 WildPressure 删除的。它是用 C++ 编写的，其配置数据使用 JSON 格式。在与命令和控制（C2，C&C）服务器的通信中也采用相同的格式。 Milum 中观察到的唯一加密是 RC4，但威胁对每个受害者使用不同的 64 字节密钥。在受感染的设备上，特洛伊木马采用不可见的工具栏窗口的形式。它的威胁功能包括执行接收到的命令、将数据上传到服务器、获取文件和系统详细信息、生成和执行从系统中删除 Milum 的批处理脚本以及在黑客发布新版本时更新自身。

守卫特洛伊木马

这种恶意软件威胁是用 Python 编写的，可以感染 Windows 和 macOS 系统。似乎在创建它时，WildPressure 黑客受到了很大的启发并依赖于公开可用的第三方代码。总体而言，该威胁与其他 WildPressure 工具有很多相似之处，尤其是在编码风格、设计和 C2 通信协议方面。 Infosec 研究人员认为，Guard 木马仍在积极开发中。

专门在 macOS 设备上激活的第一批功能之一是确定木马的另一个实例是否尚未运行。持久化机制也不同，这是可以理解的。在 Windows 设备上，木马会创建一个 RunOnce 注册表项 Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system。但是，对于 macOS 系统，Guard 会解码 XML 文档，然后生成 plist 文件。然后恶意软件使用 $HOME/Library/LaunchAgents/com.apple.pyapple.plist 中该文件的内容自动运行。该威胁还使用不同的方法来获取有关系统的详细信息，具体取决于操作系统。至于其功能，可以指示 Guard 将其他文件下载到被破坏的系统、将感兴趣的文件上传到 C2 服务器、执行命令、获取新版本或执行清理例程以从系统中删除其痕迹。

该Tandis木马

Tandis 是一种自解密 VBScript 威胁。与 Guard 木马相比，Tandis 仅针对 Windows 系统并严重依赖 WQL 查询。但是，除此之外，它的功能在很大程度上与 Guard 和其他 WildPressure 威胁的功能一致。它通过系统注册表实现持久性，并能够隐蔽地执行命令、向系统投放额外的有效载荷、上传所选文件更新自身、运行清理例程以及对主机进行指纹识别。更具体地说，Tandis 会查找除 Defender 之外的所有已安装安全产品。

恶意 C++ 插件

还发现了几个用 C++ 编写的简单互连模块。它们由一个 Orchestrator 和几个执行特定任务的插件组成。主模块（Orchestrator）检查被破坏的设备上是否存在名为"thumbnail.dat"的配置文件。此文件的确切位置因 Windows 操作系统的版本而异。 Orchestrator 每两分钟运行一次，并扫描配置文件以获取执行特定插件所需的信息。

损坏的插件采用 DLL 的形式。发现的插件之一能够通过 WQL 查询获取有关系统的极其详细的信息。收集的数据包括操作系统版本、已安装的操作系统修补程序、BIOS 和硬盘制造商、所有已安装和当前正在运行的软件产品、已安装和正在运行的安全产品、用户帐户、网络适配器设置等。两个额外的插件负责建立键盘记录程序。第一个设置一个 WH_KEYBOARD_LL 钩子，然后可以捕获击键以及拦截剪贴板内容和窗口标题。另一个插件负责通过设置 WH_MOUSE_LL 钩子根据计时器和鼠标事件截取系统的屏幕截图。