Rilevamento del Malware WildPressure

[post-views]
Luglio 12, 2021 · 4 min di lettura
Rilevamento del Malware WildPressure

Il gruppo APT WildPressure, noto per i suoi ripetuti attacchi contro il settore petrolifero e del gas nel Medio Oriente, ha recentemente aggiornato il suo toolkit dannoso con una nuova versione del Trojan Milum. I miglioramenti apportati al ceppo permettono agli avversari di compromettere dispositivi macOS insieme ai tradizionali sistemi Windows. Secondo gli esperti di sicurezza, il Trojan è in grado di raccogliere dati sensibili, eseguire comandi e aggiornarsi dopo l’infezione.

Panoramica del Trojan Milum

I ricercatori di sicurezza di Kaspersky hanno recentemente identificato una nuova versione del famigerato Trojan Milum utilizzato dall’APT WildPressure per colpire il settore energetico del Medio Oriente.

Milum è stato inizialmente scoperto a marzo 2020 come un trojan di accesso remoto completo scritto in C++. Tuttavia, il malware ha subito ampi aggiornamenti da allora. Ora i ricercatori osservano almeno tre versioni della minaccia operanti nel campo, tra cui la versione migliorata in C++, una variante in VBScript chiamata “Tandis” e uno script Python soprannominato “Guard.”

La variante “Tandis” svolge funzioni simili alla versione originale di Milum, permettendo agli attori della minaccia di raccogliere dati di sistema ed eseguire comandi dannosi. Tuttavia, il ceppo basato su VBScript può applicare XML criptato su HTTP per eseguire comunicazioni di comando e controllo (C&C).

La versione basata su Python è stata rilevata per la prima volta a settembre 2020, possedendo tutte le librerie necessarie e un Trojan Python in grado di colpire sia dispositivi Windows che macOS. La variante dedicata per macOS è distribuita come PyInstaller, tuttavia, è spesso utilizzata all’interno della versione multi-OS “Guard” di Milum. “Guard” è in grado di raccogliere informazioni di sistema, scaricare e caricare file arbitrari, eseguire comandi dannosi, autaggiornarsi e evitare la rilevazione.

Oltre a “Tandis” e “Guard,” i ricercatori di sicurezza hanno recentemente identificato nuovi moduli C++ responsabili di scattare screenshot e catturare i tasti digitati, il che significa che anche la versione iniziale in C++ è in fase di sviluppo e riceve importanti aggiornamenti.

Ultima Campagna WildPressure

L’ultimo cambiamento nell’attività dell’APT WildPressure è anche mirato al settore energetico e industriale all’interno della regione del Medio Oriente. In precedenza, gli hacker hanno ottenuto server virtuali privati (VPS) da OVH e Netzbetrieb e un dominio registrato con il servizio di anonimizzazione Domains by Proxy per procedere con attività dannose. Tuttavia, l’ultima campagna sfrutta anche i siti WordPress compromessi per disseminare la versione “Guard” del Trojan Milum.

Sebbene il meccanismo di infezione non sia attualmente chiaro e non ci siano importanti somiglianze nel codice con altri gruppi di hacker, i ricercatori di sicurezza sono stati in grado di identificare una lieve sovrapposizione nei TTP utilizzati dal collettivo hacker BlackShadow. Questi risultati suggeriscono che WildPressure potrebbe collaborare con altri avversari per portare avanti questa operazione dannosa.

Rilevamento della Versione Aggiornata del Malware WildPressure

Per identificare l’attività dannosa associata a WildPressure APT e proteggere l’infrastruttura della tua azienda, puoi scaricare una regola Sigma della comunità rilasciata dal team SOC Prime:

https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma 

SIEM & SECURITY ANALYTICS: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

Tattiche: Persistenza, Escalation dei Privilegi

Tecniche: Creazione o Modifica del Processo di Sistema (T1534), Sfruttamento dei Servizi Remoti (T1210)

Iscriviti al Threat Detection Marketplace gratuitamente e accedi alla piattaforma leader nella fornitura di Contenuti come Servizio (CaaS) che alimenta l’intero flusso di lavoro CI/CD per il rilevamento delle minacce. La nostra libreria aggrega oltre 100.000 elementi di contenuti SOC qualificati, cross-vendor e cross-tool mappati direttamente ai framework CVE e MITRE ATT&CK®. Desideroso di creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e ottieni ricompense per il tuo contributo!

Vai alla Piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko