WildPressure-Malware-Erkennung
Inhaltsverzeichnis:
Die WildPressure APT-Gruppe, bekannt für ihre wiederholten Angriffe gegen den Öl- und Gassektor im Nahen Osten, hat kürzlich ihr bösartiges Toolkit mit einer neuen Version des Milum-Trojans aufgerüstet. Die vorgenommenen Verbesserungen an der Schadsoftware ermöglichen es Angreifern, neben den herkömmlichen Windows-Systemen auch macOS-Geräte zu kompromittieren. Laut Sicherheitsexperten ist der Trojaner in der Lage, sensible Daten zu sammeln, Befehle auszuführen und sich nach der Infektion selbst zu aktualisieren.
Überblick über den Milum-Trojaner
Sicherheitsforscher von Kaspersky haben kürzlich eine neue Version des berüchtigten Milum-Trojans identifiziert, der von der WildPressure APT genutzt wird, um den Energiesektor im Nahen Osten zu ins Visier zu nehmen. a new version of the notorious Milum Trojan used by WildPressure APT to target the Middle East energy sector.
Milum wurde ursprünglich im März 2020 entdeckt und war ein vollwertiger Fernzugriffstrojaner, der in C++ geschrieben wurde. Seitdem hat die Malware umfangreiche Upgrades durchlaufen. Jetzt beobachten Forscher mindestens drei Versionen der Bedrohung, die in der freien Wildbahn operieren, darunter die verbesserte C++-Version, eine entsprechende VBScript-Variante namens “Tandis” und ein Python-Skript namens “Guard.”
Die “Tandis”-Variante führt ähnliche Funktionen wie die ursprüngliche Milum-Version aus und ermöglicht es Bedrohungsakteuren, Systemdaten zu sammeln und bösartige Befehle auszuführen. Dennoch kann die auf VBScript basierende Schadsoftware verschlüsseltes XML über HTTP nutzen, um Kommando- und Kontrollkommunikationen (C&C) durchzuführen.
Die auf Python basierende Version wurde erstmals im September 2020 entdeckt und enthält alle notwendigen Bibliotheken sowie einen Python-Trojaner, der sowohl Windows- als auch macOS-Geräte anvisieren kann. Die dedizierte macOS-Variante wird als PyInstaller verteilt, jedoch wird sie häufig innerhalb der Multi-OS-Version “Guard” von Milum verwendet. “Guard” ist in der Lage, Systeminformationen zu sammeln, beliebige Dateien herunter- und hochzuladen, bösartige Befehle auszuführen, sich selbst zu aktualisieren und der Erkennung zu entgehen.
Zusätzlich zu “Tandis” und “Guard” haben Sicherheitsforscher kürzlich neue C++-Module identifiziert, die für das Aufnehmen von Screenshots und das Erfassen von Tastenanschlägen verantwortlich sind. Das bedeutet, dass die ursprüngliche C++-Version ebenfalls weiterentwickelt wird und bedeutende Upgrades erhält.
Neueste WildPressure-Kampagne
Die jüngste Veränderung in der Aktivität der WildPressure APT zielt ebenfalls auf den Energie- und Industriesektor in der Nahostregion ab. Zuvor haben Hacker virtuelle private Server (VPS) von OVH und Netzbetrieb sowie eine mit Domains by Proxy anonymisierte Domäne erworben, um bösartige Aktivitäten fortzusetzen. Die neueste Kampagne nutzt jedoch auch kompromittierte WordPress-Websites, um die “Guard”-Version des Milum-Trojans zu verbreiten.
Obwohl der Infektionsmechanismus derzeit unklar ist und es keine wesentlichen Codeähnlichkeiten mit anderen Hackergruppen gibt, konnten Sicherheitsforscher eine gewisse Überschneidung in den von der BlackShadow-Hackergruppe verwendeten TTPs identifizieren. Diese Erkenntnisse deuten darauf hin, dass WildPressure mit anderen Angreifern zusammenarbeiten könnte, um diese bösartige Operation durchzuführen.
Erkennung der aufgerüsteten Version der WildPressure-Malware
Um die bösartigen Aktivitäten im Zusammenhang mit WildPressure APT zu identifizieren und Ihre Unternehmensinfrastruktur zu schützen, können Sie eine Sigma-Community-Regel herunterladen, die vom SOC-Prime-Team veröffentlicht wurde:
https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma
SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Taktiken: Persistenz, Privilegieneskalation
Techniken: Erstellen oder Modifizieren eines Systemprozesses (T1534), Ausnutzung entfernter Dienste (T1210)
Abonnieren Sie den Threat Detection Marketplace kostenlos und erreichen Sie die branchenführende Content-as-a-Service (CaaS)-Plattform, die einen vollständigen CI/CD-Workflow für die Bedrohungserkennung unterstützt. Unsere Bibliothek aggregiert über 100.000 qualifizierte, hersteller- und toolübergreifende SOC-Inhalte, die direkt auf CVE- und MITRE ATT&CK®-Frameworks abgebildet sind. Begeistert, Ihre eigenen Sigma-Regeln zu erstellen? Treten Sie unserem Threat Bounty-Programm bei und lassen Sie sich für Ihren Beitrag belohnen!
