WildPressureマルウェアの検出

中東の石油・ガス部門に対する繰り返しの攻撃で知られるWildPressure ATPグループは、最近、Milumトロイの木馬の新バージョンでその悪質なツールキットをアップグレードしました。このスレインに加えられた強化により、攻撃者は従来のWindowsシステムに加えてmacOSデバイスも侵害することができます。セキュリティ専門家によると、このトロイの木馬は、感染後に機密データを収集し、コマンドを実行し、自らをアップグレードすることができます。

Milumトロイの木馬概要

Kasperskyのセキュリティ研究者が最近 特定しました 中東のエネルギー部門をターゲットとするWildPressure APTによって使用される悪名高いMilumトロイの木馬の新バージョンを。 

Milumは初め、2020年3月に発見され、C++で書かれた完全なリモートアクセス型トロイの木馬でした。しかし、それ以来、マルウェアは大幅にアップグレードされました。現在、研究者たちは少なくとも3つのバージョンの脅威が野外で活動していることを観察しており、拡張されたC++バージョン、対応するVBScript版「Tandis」、および「Guard」と名付けられたPythonスクリプトが含まれています。 

「Tandis」版はオリジナルMilum版と同様の機能を果たし、攻撃者がシステムデータを集め、悪意のあるコマンドを実行できるようにします。しかし、VBScriptベースのスレインは、コマンド＆コントロール（C&C）通信を行うためにHTTP上で暗号化されたXMLを適用することができます。 

Pythonベースのバージョンは2020年9月に初めて検出され、必要なすべてのライブラリとWindowsおよびmacOSデバイスの両方をターゲットにするPythonトロイの木馬を備えています。専用のmacOSバージョンはPyInstallerとして配布されますが、MilumのマルチOS版「Guard」内で頻繁に使用されます。「Guard」は、システム情報の収集、任意のファイルのダウンロードとアップロード、悪意のあるコマンドの実行、自動更新、および検出回避が可能です。 

「Tandis」と「Guard」に加えて、セキュリティ研究者たちは最近、スクリーンショットの撮影とキーストロークのキャプチャを担当する新しいC++モジュールを特定しました。これは、最初のC++バージョンも開発中で大幅なアップグレードを受けていることを意味します。 

最新の WildPressure キャンペーン

WildPressure APT の活動の最新の変化も、中東地域のエネルギーおよび工業セクターを狙っています。これまでは、ハッカーたちはOVHおよびNetzbetrieb仮想プライベートサーバー（VPS）とDomains by Proxy匿名化サービスで登録されたドメインを取得して悪意のある活動を進めていました。しかし、最新のキャンペーンはまた、危険なWordPressウェブサイトを利用してMilumトロイの木馬の「Guard」バージョンを配布しています。 

感染メカニズムは現在明確ではなく、他のハッカーグループとの大きなコード類似性はないものの、セキュリティ研究者たちはBlackShadowハッカー集団で使用されているTTPのわずかな重複を特定することができました。これらの発見は、WildPressureがこの悪意のある作戦を遂行するために他の攻撃者とパートナーシップを結んでいる可能性を示唆しています。

改良版のWildPressureマルウェアの検出

WildPressure APTに関連する悪意のある活動を特定し、会社インフラストラクチャを保護するために、SOC PrimeチームによってリリースされたコミュニティSigmaルールをダウンロードできます：

https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma 

SIEM & セキュリティ分析: Azure Sentinel、Chronicle Security、ArcSight、QRadar、Splunk、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye、Apache Kafka ksqlDB

EDR: SentinelOne、Carbon Black

MITRE ATT&CK: 

戦術: 永続化、権限昇格

技術: システムプロセスの作成または変更 (T1534)、リモートサービスの悪用 (T1210)

Threat Detection Marketplaceに無料で登録し、脅威検出のための完全なCI/CDワークフローパワーのある業界をリードするContent-as-a-Service (CaaS)プラットフォームにアクセスしてください。当社のライブラリは、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた10万以上の資格を持つ、ベンダーおよびツールを越えたSOCコンテンツアイテムを集積しています。自分のSigmaルールを作りたいですか？Threat Bountyプログラムに参加して、インプットに報酬を得ましょう！

プラットフォームへ移動 Threat Bountyに参加する