WildPressure APT taucht mit neuer Malware auf, die auf Windows und macOS abzielt

  • Eine bösartige Kampagne, die seit 2019 industrienahe Unternehmen im Nahen Osten ins Visier genommen hat, ist mit einem aktualisierten Malware-Toolset wieder aufgetaucht, um sowohl Windows- als auch macOS-Betriebssysteme anzugreifen, was eine Ausweitung sowohl der Ziele als auch der Strategie zur Verteilung von Bedrohungen symbolisiert.

    Die russische Cybersecurity-Firma schrieb die Angriffe einer fortgeschrittenen persistenten Bedrohung (APT) zu, die sie als “WildPressure” verfolgt, wobei die Opfer vermutlich aus der Öl- und Gasindustrie stammen.

    WildPressure wurde erstmals im März 2020 durch eine Malware-Operation bekannt, bei der ein voll funktionsfähiger C++-Trojaner mit dem Namen “Milum” verbreitet wurde, der es dem Bedrohungsakteur ermöglichte, die Fernsteuerung des kompromittierten Geräts zu übernehmen. Die Angriffe sollen bereits im August 2019 begonnen haben.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    “Für ihre Kampagnen-Infrastruktur nutzten die Betreiber gemietete Virtual Private Server (VPS) von OVH und Netzbetrieb sowie eine beim Anonymisierungsdienst Domains by Proxy registrierte Domain”, stellte Kaspersky-Forscher Denis Legezo letztes Jahr fest.

    Seitdem wurden neue Malware-Samples entdeckt, die in WildPressure-Kampagnen verwendet werden, darunter eine neuere Version des C++-Trojaners Milum, eine entsprechende VBScript-Variante mit der gleichen Versionsnummer und ein Python-Skript namens “Guard”, das sowohl unter Windows als auch unter macOS funktioniert.

    Der Python-basierte Multi-OS-Trojaner, der weitgehend aus öffentlich verfügbarem Code von Drittanbietern besteht, ist so konstruiert, dass er den Hostnamen, die Maschinenarchitektur und den Versionsnamen des Betriebssystems des Opfers an einen entfernten Server sendet und auf installierte Anti-Malware-Produkte prüft, woraufhin er auf Befehle vom Server wartet, die es ihm ermöglichen, beliebige Dateien herunter- und hochzuladen, Befehle auszuführen, den Trojaner zu aktualisieren und seine Spuren auf dem infizierten Host zu löschen.

    Die VBScript-Version der Malware mit dem Namen “Tandis” verfügt über ähnliche Fähigkeiten wie Guard und Milum, nutzt aber verschlüsseltes XML über HTTP für die Command-and-Control-Kommunikation (C2). Unabhängig davon hat Kaspersky nach eigenen Angaben eine Reihe von bisher unbekannten C++-Plugins gefunden, die zum Sammeln von Daten auf infizierten Systemen verwendet werden, einschließlich der Aufzeichnung von Tastatureingaben und der Erstellung von Screenshots.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Die jüngste Kampagne scheint eine Weiterentwicklung des Modus Operandi zu sein. Sie nutzt nicht nur kommerzielle VPS, sondern bindet auch kompromittierte legitime WordPress-Websites in ihre Angriffsinfrastruktur ein, wobei die Websites als Guard-Relay-Server dienen.

    Bislang gibt es weder einen klaren Einblick in den Verbreitungsmechanismus der Malware noch starke Ähnlichkeiten mit anderen bekannten Bedrohungsakteuren. Die Forscher gaben jedoch an, dass sie geringfügige Ähnlichkeiten mit den Techniken eines anderen Angreifers namens BlackShadow festgestellt haben, der ebenfalls in derselben Region operiert.

    Die “Taktiken sind nicht eindeutig genug, um zu einer Zuordnung zu kommen – es ist möglich, dass beide Gruppen einfach die gleichen generischen Techniken und Programmieransätze verwenden”, sagte Legezo.

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com