Détection du Malware WildPressure
Table des matières :
Le groupe APT WildPressure, connu pour ses attaques répétées contre le secteur pétrolier et gazier au Moyen-Orient, a récemment mis à jour son ensemble d’outils malveillants avec une nouvelle version du cheval de Troie Milum. Les améliorations apportées à la souche permettent aux adversaires de compromettre les appareils macOS en plus des systèmes Windows traditionnels. Selon les experts en sécurité, le cheval de Troie est capable de collecter des données sensibles, d’exécuter des commandes et de se mettre à jour suite à l’infection.
Vue d’ensemble du cheval de Troie Milum
Des chercheurs en sécurité de Kaspersky ont récemment identifié une nouvelle version du tristement célèbre cheval de Troie Milum utilisé par WildPressure APT pour cibler le secteur énergétique du Moyen-Orient.
Milum a été initialement découvert en mars 2020, étant un cheval de Troie d’accès à distance complet écrit en C++. Cependant, le malware a subi de vastes mises à niveau depuis lors. Les chercheurs observent désormais au moins trois versions de la menace opérant à l’état sauvage, y compris la version C++ améliorée, une variante correspondante en VBScript appelée « Tandis » et un script Python surnommé « Guard ».
La variante « Tandis » exécute des fonctions similaires à la version originale de Milum, permettant aux acteurs menaçants de collecter des données système et d’exécuter des commandes malveillantes. Cependant, la souche basée sur VBScript peut appliquer du XML chiffré sur HTTP pour effectuer des communications de commande et contrôle (C&C).
La version basée sur Python a été détectée pour la première fois en septembre 2020, possédant toutes les bibliothèques nécessaires et un cheval de Troie Python capable de cibler à la fois les appareils Windows et macOS. La variante macOS dédiée est distribuée sous forme de PyInstaller, cependant, elle est souvent utilisée dans la version multi-OS « Guard » de Milum. « Guard » est capable de collecter des informations système, de télécharger et téléverser des fichiers arbitraires, d’exécuter des commandes malveillantes, de se mettre à jour et d’échapper à la détection.
En plus de « Tandis » et « Guard », des chercheurs en sécurité ont récemment identifié de nouveaux modules C++ chargés de prendre des captures d’écran et d’enregistrer les frappes clavier, ce qui signifie que la version initiale en C++ est également en développement et reçoit des mises à jour majeures.
Dernière campagne WildPressure
Le dernier changement dans l’activité du groupe APT WildPressure vise également le secteur énergétique et industriel dans la région du Moyen-Orient. Auparavant, les hackers ont obtenu des serveurs privés virtuels (VPS) d’OVH et de Netzbetrieb et un domaine enregistré avec le service d’anonymisation Domains by Proxy pour poursuivre leurs activités malveillantes. Cependant, la dernière campagne exploite également les sites WordPress compromis pour diffuser la version « Guard » du cheval de Troie Milum.
Bien que le mécanisme d’infection ne soit actuellement pas clair et qu’il n’y ait pas de grandes similitudes de code avec d’autres groupes de hackers, des chercheurs en sécurité ont pu identifier un léger chevauchement dans les TTP utilisés par le collectif de hackers BlackShadow. Ces résultats suggèrent que WildPressure pourrait s’associer à d’autres adversaires pour mener cette opération malveillante.
Détecter la version améliorée du malware WildPressure
Pour identifier l’activité malveillante associée à WildPressure APT et protéger l’infrastructure de votre entreprise, vous pouvez télécharger une règle Sigma communautaire publiée par l’équipe SOC Prime :
https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma
SIEM & ANALYTIQUE EN SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB
EDR : SentinelOne, Carbon Black
MITRE ATT&CK :
Tactiques : Persistance, Escalade de privilèges
Techniques : Créer ou modifier un processus système (T1534), Exploitation de services distants (T1210)
Abonnez-vous au Threat Detection Marketplace gratuitement et accédez à la plateforme leader en Content-as-a-Service (CaaS) qui alimente un workflow CI/CD complet pour la détection des menaces. Notre bibliothèque agrège plus de 100 000 éléments de contenu SOC qualifiés, multi-éditeurs et multi-outils, directement mappés aux cadres CVE et MITRE ATT&CK®. Envie de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution !
