Detecção de Malware WildPressure
Índice:
O grupo WildPressure ATP, conhecido por seus ataques repetidos contra o setor de petróleo e gás no Oriente Médio, recentemente atualizou seu kit de ferramentas maliciosas com uma nova versão do Milum Trojan. As melhorias feitas na cepa permitem que os adversários comprometam dispositivos macOS além dos sistemas Windows tradicionais. Segundo especialistas em segurança, o Trojan é capaz de coletar dados sensíveis, executar comandos e se atualizar após a infecção.
Visão Geral do Milum Trojan
Pesquisadores de segurança da Kaspersky recentemente identificaram uma nova versão do notório Milum Trojan usado pelo WildPressure APT para atingir o setor de energia no Oriente Médio.
Milum foi inicialmente descoberto em março de 2020, sendo um Trojan de acesso remoto completo escrito em C++. No entanto, o malware passou por extensas atualizações desde então. Agora, os pesquisadores observam pelo menos três versões da ameaça operando em campo, incluindo a versão melhorada em C++, uma variante correspondente em VBScript chamada “Tandis” e um script Python chamado “Guard.”
A variante “Tandis” executa funções semelhantes à versão original do Milum, permitindo que agentes de ameaças coletem dados do sistema e executem comandos maliciosos. Contudo, a cepa baseada em VBScript pode aplicar XML criptografado sobre HTTP para realizar comunicações de comando e controle (C&C).
A versão baseada em Python foi detectada pela primeira vez em setembro de 2020, contendo todas as bibliotecas necessárias e um Trojan Python capaz de atingir dispositivos Windows e macOS. A variante dedicada ao macOS é distribuída como PyInstaller, no entanto, é frequentemente usada dentro da versão multi-OS “Guard” do Milum. O “Guard” é capaz de coletar informações do sistema, baixar e enviar arquivos arbitrários, executar comandos maliciosos, autatualizar-se e evitar detecção.
Além de “Tandis” e “Guard,” pesquisadores de segurança recentemente identificaram novos módulos C++ responsáveis por tirar capturas de tela e capturar digitação, o que significa que a versão inicial em C++ também está em desenvolvimento e recebendo grandes atualizações.
Campanha WildPressure Mais Recente
A mudança mais recente na atividade do WildPressure APT também visa o setor de energia e industrial dentro da região do Oriente Médio. Anteriormente, os hackers obtiveram servidores privados virtuais (VPS) da OVH e Netzbetrieb e um domínio registrado com o serviço de anonimização Domains by Proxy para prosseguir com atividades maliciosas. No entanto, a campanha mais recente também utiliza sites WordPress comprometidos para disseminar a versão “Guard” do Milum Trojan.
Embora o mecanismo de infecção atualmente não esteja claro e não haja semelhanças significativas de código com outros grupos de hackers, pesquisadores de segurança puderam identificar alguma pequena sobreposição nas TTPs usadas pelo coletivo hacker BlackShadow. Estas descobertas sugerem que o WildPressure pode estar em parceria com outros adversários para realizar esta operação maliciosa.
Detectando a Versão Atualizada do Malware WildPressure
Para identificar a atividade maliciosa associada ao WildPressure APT e proteger a infraestrutura da sua empresa, você pode baixar uma regra Sigma comunitária lançada pela equipe SOC Prime:
https://tdm.socprime.com/tdm/info/KDx4saTxdnqm/#sigma
SIEM & ANALÍTICA DE SEGURANÇA: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Táticas: Persistência, Escalação de Privilégios
Técnicas: Criar ou Modificar Processo de Sistema (T1534), Exploração de Serviços Remotos (T1210)
Inscreva-se no Marketplace de Detecção de Ameaças gratuitamente e acesse a plataforma líder da indústria Content-as-a-Service (CaaS) que impulsiona o fluxo completo de CI/CD para detecção de ameaças. Nossa biblioteca agrega mais de 100.000 itens de conteúdo de SOC qualificados, entre fornecedores e ferramentas, mapeados diretamente para estruturas CVE e MITRE ATT&CK®. Entusiasta para criar suas próprias regras Sigma? Junte-se ao nosso programa de Recompensa por Ameaça e seja recompensado por sua contribuição!
