WildPressure APT

Bereits 2019 erreichte eine Drohkampagne, die eine vollwertige Trojaner-Bedrohung gegen industriebezogene Ziele im Nahen Osten einsetzte, nicht die TTPs (Taktik, Techniken und Verfahren) der bereits etablierten Bedrohungsakteure in der Region. Infolgedessen wurde es einer neu gegründeten ATP-Gruppe (Advanced Persistent Threat) mit der Bezeichnung WildPressure zugeschrieben.

Seit dieser ersten Operation scheinen die Hacker ziemlich viel Mühe aufgewendet zu haben, um ihr Arsenal an schädlichen Tools zu erweitern und zu verbessern. Tatsächlich setzt eine neue Kampagne, die die Zeichen von WildPressure trägt, jetzt mehrere noch nie dagewesene Malware-Bedrohungen ein, von denen eine macOS-Systeme gefährden kann. Die Opfer stammen wiederum aus dem Nahen Osten und werden nach vorläufiger Einschätzung mit dem Öl- und Gassektor in Verbindung gebracht.

WildPressure hat auch seine Infrastruktur diversifiziert. Die Operation 2019 bestand aus VPS (Virtual Private Servers), während die aktuelle Kampagne auch mehrere legitime WordPress-Sites umfasst, die kompromittiert wurden. Darunter sind 'hxxp://adelice-formation[.]eu', 'hxxp://ricktallis[.]com/news', 'hxxp://whatismyserver123456[.]com', 'hxxp://www. glisru[.]eu" und „hxxp://www.mozh[.]org."

Der Milum-Trojaner

Die ursprüngliche Trojaner-Bedrohung wurde von WildPressure entfernt. Es ist in C++ geschrieben und verwendet das JSON-Format für seine Konfigurationsdaten. Das gleiche Format wird auch bei der Kommunikation mit dem Command-and-Control (C2, C&C) Server verwendet. Die einzige in Milum beobachtete Verschlüsselung ist RC4, aber die Bedrohung verwendet für jedes Opfer einen anderen 64-Byte-Schlüssel. Auf dem kompromittierten Gerät nimmt der Trojaner die Form eines unsichtbaren Symbolleistenfensters an. Zu seinen bedrohlichen Fähigkeiten gehören das Ausführen empfangener Befehle, das Hochladen von Daten auf den Server, das Abrufen von Datei- und Systemdetails, das Generieren und Ausführen eines Batch-Skripts, das Milum aus dem System entfernt, sowie das Aktualisieren selbst, wenn eine neue Version von den Hackern veröffentlicht wird.

Der Wächter-Trojaner

Diese Malware-Bedrohung ist in Python geschrieben und kann sowohl Windows- als auch macOS-Systeme infizieren. Es scheint, dass die WildPressure-Hacker bei der Erstellung stark inspiriert waren und sich auf öffentlich zugänglichen Code von Drittanbietern verließen. Insgesamt hat die Bedrohung viele Ähnlichkeiten mit den anderen WildPressure-Tools, insbesondere was den Codierungsstil, das Design und das C2-Kommunikationsprotokoll betrifft. Die Forscher von Infosec gehen davon aus, dass sich der Guard-Trojaner noch in der aktiven Entwicklung befindet.

Eine der ersten Funktionen, die speziell auf macOS-Geräten aktiviert wird, besteht darin, festzustellen, ob nicht bereits eine andere Instanz des Trojaners ausgeführt wird. Der Persistenzmechanismus ist verständlicherweise auch anders. Auf Windows-Geräten erstellt der Trojaner einen RunOnce-Registrierungsschlüssel Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Bei macOS-Systemen dekodiert Guard jedoch ein XML-Dokument und generiert dann eine plist-Datei. Die Malware verwendet dann den Inhalt dieser Datei unter $HOME/Library/LaunchAgents/com.apple.pyapple.plist, um sich automatisch auszuführen. Die Bedrohung verwendet je nach Betriebssystem auch separate Methoden, um Details über das System zu erhalten. Was seine Fähigkeiten betrifft, kann Guard angewiesen werden, zusätzliche Dateien auf das beschädigte System herunterzuladen, interessierende Dateien auf den C2-Server hochzuladen, Befehle auszuführen, eine neue Version abzurufen oder eine Bereinigungsroutine durchzuführen, um seine Spuren vom System zu entfernen.

Der Tandis-Trojaner

Tandis ist eine selbstentschlüsselnde VBScript-Bedrohung. Im Vergleich zum Guard-Trojaner zielt Tandis nur auf Windows-Systeme ab und verlässt sich stark auf WQL-Abfragen. Ansonsten stimmt seine Funktionalität jedoch weitgehend mit der von Guard und den anderen WildPressure-Bedrohungen überein. Es erreicht Persistenz über Systemregistrierungen und ist in der Lage, heimlich Befehle auszuführen, zusätzliche Nutzlasten auf das System zu verwerfen, ausgewählte Dateien hochzuladen, sich selbst zu aktualisieren, eine Bereinigungsroutine auszuführen und Fingerabdrücke des Hosts zu erstellen. Genauer gesagt sucht Tandis nach allen installierten Sicherheitsprodukten mit Ausnahme von Defender.

Schädliche C++-Plugins

Es wurden auch mehrere vereinfachte, miteinander verbundene Module, die in C++ geschrieben sind, entdeckt. Sie bestehen aus einem Orchestrator und mehreren Plugins, die bestimmte Aufgaben ausführen. Das Hauptmodul (Orchestrator) prüft, ob eine Konfigurationsdatei namens 'thumbnail.dat' auf dem beschädigten Gerät vorhanden ist. Der genaue Speicherort dieser Datei hängt von der Version des Windows-Betriebssystems ab. Der Orchestrator wird alle zwei Minuten ausgeführt und durchsucht die Konfigurationsdatei nach den erforderlichen Informationen, um ein bestimmtes Plugin auszuführen.

Die beschädigten Plugins haben die Form von DLLs. Eines der entdeckten Plugins ist in der Lage, über WQL-Abfragen äußerst detaillierte Informationen über das System zu erhalten. Die gesammelten Daten umfassen die Betriebssystemversion, installierte Betriebssystem-Hotfixes, BIOS- und HDD-Hersteller, alle installierten und derzeit ausgeführten Softwareprodukte, installierte und ausgeführte Sicherheitsprodukte, Benutzerkonten, Netzwerkadaptereinstellungen und mehr. Zwei zusätzliche Plugins haben die Aufgabe, Keylogging-Routinen einzurichten. Der erste setzt einen WH_KEYBOARD_LL-Hook und kann dann Tastenanschläge erfassen sowie den Inhalt der Zwischenablage und Windows-Titel abfangen. Das andere Plugin ist dafür verantwortlich, Screenshots des Systems in Abhängigkeit von Timer- und Mausereignissen zu erstellen, indem es einen WH_MOUSE_LL-Hook setzt.