WildPressure APT

2019年に、中東の業界関連のターゲットに対して本格的なトロイの木馬の脅威を展開する脅迫キャンペーンは、この地域ですでに確立されている脅威アクターのTTP（戦術、技術、手順）と一致しませんでした。その結果、WildPressureという指定が与えられた新しく設立されたATP（Advanced Persistent Threat）グループに起因していました。

この最初の操作以来、ハッカーは有害なツールの武器を拡大および改善するためにかなりの努力を費やしたようです。実際、WildPressureの兆候を示す新しいキャンペーンでは、これまでに見たことのないマルウェアの脅威がいくつか展開されており、そのうちの1つはmacOSシステムを危険にさらす可能性があります。犠牲者は再び中東から来ており、彼らが石油とガスのセクターに関係していると暫定的に推定しています。

WildPressureは、インフラストラクチャも多様化しています。 2019年の運用はVPS（仮想プライベートサーバー）で構成されていましたが、現在のキャンペーンには、侵害されたいくつかの正当なWordPressサイトも含まれています。その中には、 'hxxp：// adelice-formation [。] eu、' 'hxxp：// ricktallis [。] com / news、' 'hxxp：// whatismyserver123456 [。] com、' 'hxxp：// wwwがあります。 glisru [。] eu、 'および' hxxp：//www.mozh [。] org。 '

Milumトロイの木馬

元のトロイの木馬の脅威はWildPressureによって削除されました。これはC ++で記述されており、構成データにJSON形式を使用します。コマンドアンドコントロール（C2、C＆C）サーバーとの通信にも同じ形式が採用されています。 Milumで観察された唯一の暗号化はRC4ですが、脅威は被害者ごとに異なる64バイトのキーを使用します。侵害されたデバイスでは、トロイの木馬は目に見えないツールバーウィンドウの形をとります。その脅威となる機能には、受信したコマンドの実行、サーバーへのデータのアップロード、ファイルとシステムの詳細の取得、システムからMilumを削除するバッチスクリプトの生成と実行、ハッカーによって新しいバージョンがリリースされた場合の更新などがあります。

ガードトロイの木馬

このマルウェアの脅威はPythonで記述されており、WindowsシステムとmacOSシステムの両方に感染する可能性があります。それを作成している間、WildPressureハッカーは、公に利用可能なサードパーティのコードに大きく影響を受け、依存していたようです。全体として、この脅威は、特にコーディングスタイル、その設計、およびC2通信プロトコルに関して、他のWildPressureツールと非常に多くの類似点を共有しています。 Infosecの研究者は、Guardトロイの木馬がまだ活発に開発されていると信じています。

macOSデバイスで特にアクティブ化される最初の機能の1つは、トロイの木馬の別のインスタンスがまだ実行されていないかどうかを判断することです。永続性のメカニズムも当然異なります。 Windowsデバイスでは、トロイの木馬はRunOnceレジストリキーSoftware \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_systemを作成します。ただし、macOSシステムの場合、GuardはXMLドキュメントをデコードしてから、plistファイルを生成します。次に、マルウェアは$ HOME / Library / LaunchAgents / com.apple.pyapple.plistにあるそのファイルの内容を使用して、自動的に実行します。この脅威では、OSに応じて、システムの詳細を取得するための個別の方法も採用されています。その機能に関しては、Guardは、侵害されたシステムに追加のファイルをダウンロードする、C2サーバーに対象のファイルをアップロードする、コマンドを実行する、新しいバージョンをフェッチする、またはクリーンアップルーチンを実行してシステムからトレースを削除するように指示できます。

Tandisトロイの木馬

Tandisは自己復号化VBScriptの脅威です。ガードトロイの木馬と比較して、TandisはWindowsシステムのみを対象とし、WQLクエリに大きく依存しています。ただし、それ以外の点では、その機能はGuardやその他のWildPressureの脅威の機能とほぼ一致しています。システムレジストリを介して永続性を実現し、コマンドをステルスに実行し、追加のペイロードをシステムにドロップし、選択したファイルをアップロードして更新し、クリーンアップルーチンを実行し、ホストにフィンガープリントを作成することができます。具体的には、Tandisは、Defenderを除く、インストールされているすべてのセキュリティ製品を検索します。

悪意のあるC ++プラグイン

C ++で記述されたいくつかの単純な相互接続モジュールも発見されています。これらは、オーケストレーターと特定のタスクを実行するいくつかのプラグインで構成されています。メインモジュール（Orchestrator）は、「thumbnail.dat」という名前の構成ファイルが侵害されたデバイスに存在するかどうかを確認します。このファイルの正確な場所は、WindowsOSのバージョンによって異なります。 Orchestratorは2分ごとに実行され、特定のプラグインを実行するために必要な情報について構成ファイルをスキャンします。

破損したプラグインはDLLの形式を取ります。発見されたプラグインの1つは、WQLクエリを介してシステムに関する非常に詳細な情報を取得できます。収集されるデータには、OSバージョン、インストールされているOS修正プログラム、BIOSおよびHDDメーカー、インストールされて現在実行されているすべてのソフトウェア製品、インストールされて実行されているセキュリティ製品、ユーザーアカウント、ネットワークアダプター設定などが含まれます。 2つの追加プラグインは、キーロガールーチンの確立を担当します。 1つ目はWH_KEYBOARD_LLフックを設定し、キーストロークをキャプチャしたり、クリップボードのコンテンツやWindowsのタイトルを傍受したりできます。もう1つのプラグインは、WH_MOUSE_LLフックを設定することにより、タイマーとマウスのイベントに応じてシステムのスクリーンショットを撮る役割を果たします。