Вредоносная кампания, которая с 2019 года нацеливается на промышленные предприятия на Ближнем Востоке, вновь появилась с обновленным набором инструментов для поражения операционных систем Windows и macOS, что говорит о расширении как ее целей, так и стратегии распространения угроз.
Исследователи кибербезопасности приписывают атаки одноименной хакерской группировке, а жертвы, предположительно, относятся в нефтегазовой отрасли.
Впервые о WildPressure стало известно в марте 2020 года, когда эта группа провела вредоносную операцию по распространению полнофункционального C++-трояна под названием «Milum», который позволял хакерам получить удаленный контроль над скомпрометированным устройством. По имеющимся данным, атаки начались еще в августе 2019 года.
«Для инфраструктуры своей кампании операторы использовали арендованные виртуальные частные серверы (VPS) OVH и Netzbetrieb и домен, зарегистрированный в сервисе анонимизации Domains by Proxy» - отметил в прошлом году исследователь Лаборатории Касперского Денис Легезо.
С тех пор были обнаружены новые образцы вредоносного ПО, использовавшиеся в кампаниях WildPressure, включая новую версию трояна Milum, соответствующий скрипт VBScript с тем же номером версии, а также скрипт на Python под названием Guard, который работает как в Windows, так и в macOS.
Мультиплатформенный троян на базе Python, в котором широко используется общедоступный код сторонних разработчиков, предназначен для передачи на удаленный сервер имени хоста, архитектуры машины и названия релиза ОС жертвы, проверки наличия установленных антивирусных продуктов. После отправки разведданных троян ожидает команд от контрольного сервера, которые позволяют ему загружать и выгружать произвольные файлы, выполнять команды, обновлять трояна и стирать его следы с зараженного хоста.
Вариант вредоносной программы на VBScript, названный Tandis, обладает возможностями, аналогичными Guard и Milum, и использует зашифрованный XML через HTTP для передачи управляющих команд. Отдельно исследователи сообщили, что обнаружили ряд ранее неизвестных плагинов C++, которые использовались для сбора данных на зараженных системах, включая запись нажатий клавиш и создание скриншотов.
Более того, в ходе последней кампании - которая, по-видимому, является результатом эволюции тактики злоумышленников - помимо использования коммерческих VPS в инфраструктуру атаки были включены взломанные легитимные сайты WordPress, которые служили в качестве ретрансляционных серверов Guard.
На сегодняшний день нет ни четкого представления о механизме распространения вредоносного ПО, ни сильного сходства кода или профиля жертв с другими известными вредоносами. Однако, по словам исследователей, они заметили незначительные связи в методах, используемых другой хакерской группой под названием «BlackShadow», которая действует в том же регионе.
Тактика «не настолько уникальна, чтобы прийти к какому-либо выводу об авторстве - возможно, обе группы просто используют одни и те же общие техники и подходы к программированию» - сообщил Легезо.
Перевод выполнен со статьи: https://thehackernews.com