«WildPressure» снова атакует Windows и MacOS

8 июля 2021 г. 12:20
 595

WildPressure - вредоносная кампания, которая нацеливается на предприятия на Ближнем Востоке

Вредоносная кампания, которая с 2019 года нацеливается на промышленные предприятия на Ближнем Востоке, вновь появилась с обновленным набором инструментов для поражения операционных систем Windows и macOS, что говорит о расширении как ее целей, так и стратегии распространения угроз.

Исследователи кибербезопасности приписывают атаки одноименной хакерской группировке, а жертвы, предположительно, относятся в нефтегазовой отрасли.

Впервые о WildPressure стало известно в марте 2020 года, когда эта группа провела вредоносную операцию по распространению полнофункционального C++-трояна под названием «Milum», который позволял хакерам получить удаленный контроль над скомпрометированным устройством. По имеющимся данным, атаки начались еще в августе 2019 года.

«Для инфраструктуры своей кампании операторы использовали арендованные виртуальные частные серверы (VPS) OVH и Netzbetrieb и домен, зарегистрированный в сервисе анонимизации Domains by Proxy» - отметил в прошлом году исследователь Лаборатории Касперского Денис Легезо.

С тех пор были обнаружены новые образцы вредоносного ПО, использовавшиеся в кампаниях WildPressure, включая новую версию трояна Milum, соответствующий скрипт VBScript с тем же номером версии, а также скрипт на Python под названием Guard, который работает как в Windows, так и в macOS.

Мультиплатформенный троян на базе Python, в котором широко используется общедоступный код сторонних разработчиков, предназначен для передачи на удаленный сервер имени хоста, архитектуры машины и названия релиза ОС жертвы, проверки наличия установленных антивирусных продуктов. После отправки разведданных троян ожидает команд от контрольного сервера, которые позволяют ему загружать и выгружать произвольные файлы, выполнять команды, обновлять трояна и стирать его следы с зараженного хоста.

Вариант вредоносной программы на VBScript, названный Tandis, обладает возможностями, аналогичными Guard и Milum, и использует зашифрованный XML через HTTP для передачи управляющих команд. Отдельно исследователи сообщили, что обнаружили ряд ранее неизвестных плагинов C++, которые использовались для сбора данных на зараженных системах, включая запись нажатий клавиш и создание скриншотов.

Более того, в ходе последней кампании - которая, по-видимому, является результатом эволюции тактики злоумышленников - помимо использования коммерческих VPS в инфраструктуру атаки были включены взломанные легитимные сайты WordPress, которые служили в качестве ретрансляционных серверов Guard.

На сегодняшний день нет ни четкого представления о механизме распространения вредоносного ПО, ни сильного сходства кода или профиля жертв с другими известными вредоносами. Однако, по словам исследователей, они заметили незначительные связи в методах, используемых другой хакерской группой под названием «BlackShadow», которая действует в том же регионе.

Тактика «не настолько уникальна, чтобы прийти к какому-либо выводу об авторстве - возможно, обе группы просто используют одни и те же общие техники и подходы к программированию» - сообщил Легезо.

Перевод выполнен со статьи: https://thehackernews.com

Системы Информационной Безопасности