WildPressure APT

早在 2019 年，一場針對中東行業相關目標部署成熟的木馬威脅的威脅性活動未能與該地區已建立的威脅參與者的 TTP（戰術、技術和程序）相匹配。因此，它被歸於一個新成立的 ATP（高級持續威脅）小組，命名為 WildPressure。

自此初始操作以來，黑客似乎已經花費了大量精力來擴展和改進他們的有害工具庫。事實上，一個帶有 WildPressure 跡象的新活動現在正在部署幾個前所未見的惡意軟件威脅，其中一個能夠危及 macOS 系統。受害者再次來自中東，初步估計他們與石油和天然氣部門有關。

WildPressure 還對其基礎設施進行了多元化。 2019 年的行動包括 VPS（虛擬專用服務器），而當前的活動還包括幾個已被攻陷的合法 WordPress 網站。其中包括"hxxp://adelice-formation[.]eu"、"hxxp://ricktallis[.]com/news"、"hxxp://whatismyserver123456[.]com"、"hxxp://www"。 glisru[.]eu,' 和 'hxxp://www.mozh[.]org.'

該Milum木馬

最初的特洛伊木馬威脅是由 WildPressure 刪除的。它是用 C++ 編寫的，其配置數據使用 JSON 格式。在與命令和控制（C2，C＆C）服務器的通信中也採用相同的格式。 Milum 中觀察到的唯一加密是 RC4，但威脅對每個受害者使用不同的 64 字節密鑰。在受感染的設備上，特洛伊木馬采用不可見的工具欄窗口的形式。它的威脅功能包括執行接收到的命令、將數據上傳到服務器、獲取文件和系統詳細信息、生成和執行從系統中刪除 Milum 的批處理腳本以及在黑客發布新版本時更新自身。

守衛特洛伊木馬

這種惡意軟件威脅是用 Python 編寫的，可以感染 Windows 和 macOS 系統。似乎在創建它時，WildPressure 黑客受到了很大的啟發並依賴於公開可用的第三方代碼。總體而言，該威脅與其他 WildPressure 工具有很多相似之處，尤其是在編碼風格、設計和 C2 通信協議方面。 Infosec 研究人員認為，Guard 木馬仍在積極開發中。

專門在 macOS 設備上激活的第一批功能之一是確定木馬的另一個實例是否尚未運行。持久化機制也不同，這是可以理解的。在 Windows 設備上，木馬會創建一個 RunOnce 註冊表項 Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system。但是，對於 macOS 系統，Guard 會解碼 XML 文檔，然後生成 plist 文件。然後惡意軟件使用 $HOME/Library/LaunchAgents/com.apple.pyapple.plist 中該文件的內容自動運行。該威脅還使用不同的方法來獲取有關係統的詳細信息，具體取決於操作系統。至於其功能，可以指示 Guard 將其他文件下載到被破壞的系統、將感興趣的文件上傳到 C2 服務器、執行命令、獲取新版本或執行清理例程以從系統中刪除其痕跡。

該Tandis木馬

Tandis 是一種自解密 VBScript 威脅。與 Guard 木馬相比，Tandis 僅針對 Windows 系統並嚴重依賴 WQL 查詢。但是，除此之外，它的功能在很大程度上與 Guard 和其他 WildPressure 威脅的功能一致。它通過系統註冊表實現持久性，並能夠隱蔽地執行命令、向系統投放額外的有效載荷、上傳所選文件更新自身、運行清理例程以及對主機進行指紋識別。更具體地說，Tandis 會查找除 Defender 之外的所有已安裝安全產品。

惡意 C++ 插件

還發現了幾個用 C++ 編寫的簡單互連模塊。它們由一個 Orchestrator 和幾個執行特定任務的插件組成。主模塊（Orchestrator）檢查被破壞的設備上是否存在名為"thumbnail.dat"的配置文件。此文件的確切位置因 Windows 操作系統的版本而異。 Orchestrator 每兩分鐘運行一次，並掃描配置文件以獲取執行特定插件所需的信息。

損壞的插件採用 DLL 的形式。發現的插件之一能夠通過 WQL 查詢獲取有關係統的極其詳細的信息。收集的數據包括操作系統版本、已安裝的操作系統修補程序、BIOS 和硬盤製造商、所有已安裝和當前正在運行的軟件產品、已安裝和正在運行的安全產品、用戶帳戶、網絡適配器設置等。兩個額外的插件負責建立鍵盤記錄程序。第一個設置一個 WH_KEYBOARD_LL 鉤子，然後可以捕獲擊鍵以及攔截剪貼板內容和窗口標題。另一個插件負責通過設置 WH_MOUSE_LL 鉤子根據計時器和鼠標事件截取系統的屏幕截圖。