APT WildPressure
En 2019, una campaña amenazante que desplegaba una amenaza troyana en toda regla contra objetivos relacionados con la industria en el Medio Oriente no logró igualar las TTP (tácticas, técnicas y procedimientos) de los actores de amenazas ya establecidos en la región. Como resultado, se atribuyó a un grupo de ATP (Amenaza persistente avanzada) recién establecido que recibió la designación WildPressure.
Desde esta operación inicial, los piratas informáticos parecen haber invertido mucho esfuerzo en expandir y mejorar su arsenal de herramientas dañinas. De hecho, una nueva campaña con los signos de WildPressure ahora está implementando varias amenazas de malware nunca antes vistas, una de las cuales es capaz de comprometer los sistemas macOS. Las víctimas son una vez más de Oriente Medio y con una estimación tentativa de que están relacionadas con el sector del petróleo y el gas.
WildPressure también ha diversificado su infraestructura. La operación de 2019 consistió en VPS (servidores privados virtuales), mientras que la campaña actual también incluye varios sitios legítimos de WordPress que se han visto comprometidos. Entre ellos se encuentran 'hxxp: // adelice-training [.] Eu,' 'hxxp: // ricktallis [.] Com / news,' 'hxxp: // whatismyserver123456 [.] Com,' 'hxxp: // www. glisru [.] eu 'y' hxxp: //www.mozh [.] org. '
El troyano Milum
WildPressure eliminó la amenaza troyana original. Está escrito en C ++ y usa el formato JSON para sus datos de configuración. El mismo formato también se emplea en la comunicación con el servidor de Comando y Control (C2, C&C). El único cifrado observado en Milum es RC4, pero la amenaza utiliza una clave diferente de 64 bytes para cada víctima. En el dispositivo comprometido, el troyano toma la forma de una ventana de barra de herramientas invisible. Sus capacidades amenazantes incluyen ejecutar comandos recibidos, cargar datos al servidor, obtener detalles de archivos y sistemas, generar y ejecutar un script por lotes que elimina Milum del sistema y actualizarse si los piratas informáticos lanzan una nueva versión.
El troyano guard
Esta amenaza de malware está escrita en Python y puede infectar tanto sistemas Windows como macOS. Parece que al crearlo, los piratas informáticos de WildPressure se inspiraron en gran medida y confiaron en el código de terceros disponible públicamente. En general, la amenaza comparte muchas similitudes con las otras herramientas de WildPressure, especialmente en lo que respecta al estilo de codificación, su diseño y el protocolo de comunicación C2. Los investigadores de Infosec creen que Guard Trojan todavía está en desarrollo activo.
Una de las primeras funciones activadas específicamente en dispositivos macOS es determinar si otra instancia del troyano aún no se está ejecutando. El mecanismo de persistencia también es comprensiblemente diferente. En los dispositivos Windows, el troyano crea una clave de registro RunOnce Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ gd_system. Sin embargo, para los sistemas macOS, Guard decodifica un documento XML y luego genera un archivo plist. Luego, el malware usa el contenido de ese archivo en $ HOME / Library / LaunchAgents / com.apple.pyapple.plist para ejecutarse automáticamente. La amenaza también emplea métodos separados para obtener detalles sobre el sistema según el sistema operativo. En cuanto a sus capacidades, se le puede indicar a Guard que descargue archivos adicionales al sistema violado, cargue archivos de interés en el servidor C2, ejecute comandos, obtenga una nueva versión o realice una rutina de limpieza para eliminar sus rastros del sistema.
El troyano Tandis
Tandis es una amenaza de VBScript que se autodescodifica. En comparación con el troyano Guard, Tandis se dirige solo a sistemas Windows y se basa en gran medida en consultas WQL. Sin embargo, por lo demás, su funcionalidad es en gran medida consistente con la de Guard y las otras amenazas de WildPressure. Logra la persistencia a través de los registros del sistema y es capaz de ejecutar comandos sigilosamente, colocar cargas útiles adicionales en el sistema, cargar archivos elegidos actualizándose, ejecutar una rutina de limpieza y tomar huellas digitales del host. Más específicamente, Tandis busca todos los productos de seguridad instalados con la excepción de Defender.
Complementos maliciosos de C ++
También se han descubierto varios módulos interconectados simplistas escritos en C ++. Consisten en un orquestador y varios complementos que realizan tareas específicas. El módulo principal (Orchestrator) comprueba si un archivo de configuración llamado 'thumbnail.dat' está presente en el dispositivo violado. La ubicación exacta de este archivo varía según la versión del sistema operativo Windows. El orquestador se ejecuta cada dos minutos y escanea el archivo de configuración en busca de la información necesaria para ejecutar un complemento específico.
Los complementos dañados toman la forma de DLL. Uno de los complementos descubiertos es capaz de obtener información extremadamente detallada sobre el sistema a través de consultas WQL. Los datos recopilados incluyen la versión del sistema operativo, las revisiones del sistema operativo instaladas, los fabricantes de BIOS y HDD, todos los productos de software instalados y en ejecución, productos de seguridad instalados y en ejecución, cuentas de usuario, configuraciones de adaptadores de red y más. Dos complementos adicionales tienen la tarea de establecer rutinas de registro de teclas. El primero establece un gancho WH_KEYBOARD_LL y luego puede capturar las pulsaciones de teclas, así como interceptar el contenido del portapapeles y los títulos de Windows. El otro complemento es responsable de tomar capturas de pantalla del sistema según el temporizador y los eventos del mouse al establecer un gancho WH_MOUSE_LL.
