Detección de Malware WildPressure

[post-views]
julio 12, 2021 · 4 min de lectura
Detección de Malware WildPressure

El grupo ATP WildPressure, conocido por sus ataques repetidos contra el sector del petróleo y el gas en el Medio Oriente, ha actualizado recientemente su conjunto de herramientas maliciosas con una nueva versión del Troyano Milum. Las mejoras realizadas a la cepa permiten a los adversarios comprometer dispositivos macOS junto con los sistemas tradicionales de Windows. Según expertos en seguridad, el Troyano es capaz de recopilar datos sensibles, ejecutar comandos y actualizarse a sí mismo tras la infección.

Descripción general del Troyano Milum

Investigadores de seguridad de Kaspersky han identificado una nueva versión del notorio Troyano Milum utilizado por WildPressure APT para atacar el sector energético de Medio Oriente.

Milum fue inicialmente descubierto en marzo de 2020, siendo un troyano de acceso remoto completamente desarrollado escrito en C++. Sin embargo, el malware ha experimentado extensas mejoras desde entonces. Ahora los investigadores observan al menos tres versiones de la amenaza operando en el entorno, incluyendo la versión mejorada en C++, una variante en VBScript denominada “Tandis”, y una secuencia de comandos en Python llamada “Guard.”

La variante “Tandis” realiza funciones similares a la versión original de Milum, permitiendo a los actores de amenazas recopilar datos del sistema y ejecutar comandos maliciosos. Sin embargo, la cepa basada en VBScript puede aplicar XML cifrado sobre HTTP para realizar comunicaciones de comando y control (C&C).

La versión basada en Python fue detectada por primera vez en septiembre de 2020, teniendo todas las bibliotecas necesarias y un Troyano en Python capaz de apuntar tanto a dispositivos Windows como macOS. La variante dedicada para macOS se distribuye como PyInstaller, sin embargo, se utiliza con frecuencia dentro de la versión multi-OS “Guard” de Milum. “Guard” es capaz de recopilar información del sistema, descargar y cargar archivos arbitrarios, ejecutar comandos maliciosos, auto actualizarse y evadir la detección.

Además de “Tandis” y “Guard”, los investigadores de seguridad han identificado recientemente nuevos módulos en C++ responsables de tomar capturas de pantalla y capturar pulsaciones de teclas, lo que significa que la versión inicial en C++ también está en desarrollo y recibiendo importantes mejoras.

Última campaña de WildPressure

El último cambio en la actividad del APT WildPressure también está dirigido al sector energético e industrial dentro de la región de Medio Oriente. Anteriormente, los hackers obtuvieron servidores privados virtuales (VPS) de OVH y Netzbetrieb y un dominio registrado con el servicio de anonimización Domains by Proxy para proceder con actividades maliciosas. Sin embargo, la última campaña también aprovecha los sitios web de WordPress comprometidos para difundir la versión “Guard” del Troyano Milum.

Aunque el mecanismo de infección actualmente no está claro y no hay grandes similitudes de código con otros grupos de hackers, los investigadores de seguridad pudieron identificar algunas pequeñas coincidencias en las TTP utilizadas por el colectivo de hackers BlackShadow. Estos hallazgos sugieren que WildPressure podría asociarse con otros adversarios para llevar a cabo esta operación maliciosa.

Detección de la versión mejorada del malware de WildPressure

Para identificar la actividad maliciosa asociada con WildPressure APT y proteger la infraestructura de su empresa, puede descargar una regla Sigma comunitaria lanzada por el equipo de SOC Prime:

https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma 

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

Tácticas: Persistencia, Escalada de Privilegios

Técnicas: Crear o Modificar Proceso del Sistema (T1534), Explotación de Servicios Remotos (T1210)

Suscríbase a Threat Detection Marketplace de forma gratuita y acceda a la plataforma líder en la industria de Contenido como Servicio (CaaS) que impulsa el flujo de trabajo automático completo para la detección de amenazas. Nuestra biblioteca agrega más de 100,000 elementos de contenido de SOC calificados, cross-vendor y cross-tool, mapeados directamente a los marcos CVE y MITRE ATT&CK®. ¿Entusiasta de crear sus propias reglas Sigma? ¡Únase a nuestro programa Threat Bounty y sea recompensado por su aporte!

Ir a la Plataforma Únase a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko