MacOS im Visier der APT-Malware-Kampagne WildPressure

  • Bedrohungsakteure setzen kompromittierte WordPress-Websites für eine Kampagne ein, die auf macOS-Benutzer abzielt.

    Bedrohungsakteure, die als WildPressure bekannt sind, haben eine macOS-Malware-Variante zu ihrer neuesten Kampagne hinzugefügt, die auf Unternehmen im Energiesektor abzielt, während sie kompromittierte WordPress-Websites für die Durchführung von Angriffen nutzen.

    Die neuartige Malware, die ursprünglich im März 2020 identifiziert und als Milum bezeichnet wurde, wurde nun mit einem PyInstaller-Bundle umgerüstet, das einen Trojaner-Dropper enthält, der mit Windows- und macOS-Systemen kompatibel ist, so die Forscher. Über kompromittierte Endpunkte kann die Advanced Persistent Threat (APT)-Gruppe Dateien herunterladen und hochladen sowie Befehle ausführen.

    Am Mittwoch veröffentlichte Kaspersky seine neuesten Erkenntnisse im Zusammenhang mit der APT und der Malware, die erstmals im März 2020 entdeckt und darüber berichtet wurde. Damals stellten die Forscher fest, dass WildPressure Organisationen im Nahen Osten mit einer C++-Version eines Trojaners namens Milum angriff.

    Die neueste Probe von Milum zeigt die Hinzufügung eines selbstentschlüsselnden VBScript-Tandis-Trojaners, eines macOS-kompatiblen PyInstallers und eines Multi-OS-Guard-Trojaners, so Denis Legezo, Senior Security Researcher bei Kaspersky, in einem Beitrag vom Mittwoch.

    Ein PyInstaller bündelt eine macOS-kompatible Python-Anwendung “und alle ihre Abhängigkeiten in einem einzigen Paket”, wie es in der technischen Beschreibung heißt.

    “Diese ausführbare PyInstaller-Windows-Datei wurde in unserer Telemetrie am 1. September 2020 entdeckt und zeigt die Version 2.2.1. Es enthält ein Archiv mit allen erforderlichen Bibliotheken und einen Python-Trojaner, der sowohl unter Windows als auch unter macOS funktioniert. Der ursprüngliche Name des Skripts in diesem PyInstaller-Bundle ist ‘Guard'”, schrieb Legezo.

    Laut Kaspersky, das im Frühjahr 2021 neue Command-and-Control (C2)-Domänen von WildPressure aufspürte, nutzte der Bedrohungsakteur sowohl virtuelle private Server (VPS) als auch kompromittierte Server in seiner Infrastruktur, von denen die meisten WordPress-Websites waren.

    Zu den Hinweisen auf die macOS-Kompatibilität der Malware gehört ein Skript im PyInstaller-Bundle (Guard), das macOS-Systeme auf andere Instanzen des Milum-Trojaners überprüft.

    Die Forscher stellen fest, dass der Code, der in Guard für Verschlüsselungen und Netzwerkkommunikation verwendet wird, unabhängig vom Betriebssystem ist, die Methoden zur Host-Persistenz jedoch nicht.

    “Für macOS dekodiert Guard ein XML-Dokument und erstellt eine PLIST-Datei mit dessen Inhalt unter $HOME/Library/LaunchAgents/com.apple.pyapple.plist, um sich selbst zu starten; während das Skript für Windows einen RunOnce-Registrierungsschlüssel SoftwareMicrosoftWindowsCurrentVersionRunOncegd_system erstellt”, schrieb Legezo.

    Eigenschaftslistendateien, oder PLIST-Dateien, sind Einstellungsdateien. Sie werden von macOS-Anwendungen verwendet und enthalten Eigenschaften und Konfigurationseinstellungen und wurden in der Vergangenheit von Bedrohungsakteuren missbraucht.

    In einem Video-Durchlauf der Kaspersky-Untersuchung sagte Legezo, dass er mit “hohem Vertrauen” davon ausgeht, dass die Tandis VBScript-, PyInstaller- und C++-Samples alle mit der WildPressure APT in Verbindung stehen, “aufgrund des sehr ähnlichen Codierungsstils und des Opferprofils.” Der Code schließt nicht aus, dass WildPressure eng mit anderen Bedrohungsakteuren verbunden sein könnte, die im Nahen Osten operieren.

    “Unter den anderen Akteuren, über die wir in der Region berichtet haben, sind Chafer und Ferocious Kitten erwähnenswert. Technisch gesehen gibt es nicht viele Gemeinsamkeiten mit ihrer Malware, aber wir haben einige kleinere Ähnlichkeiten mit einem anderen Akteur in der Region beobachtet, den wir bisher noch nicht öffentlich beschrieben haben”, sagte er.

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com