目標(biāo)石油和天然氣行業(yè)!WildPressure新惡意軟件針對(duì)Windows和macOS

網(wǎng)絡(luò)安全人員發(fā)現(xiàn)Wild Pressure APT小組使用一種新的惡意軟件針對(duì)Windows 和 macOS 系統(tǒng)。

Wild Pressure的“前世今生”

WildPressure于2019年8月首次被發(fā)現(xiàn)，當(dāng)時(shí)研究人員檢測(cè)到一種前所未見(jiàn)的惡意軟件Milum，該惡意軟件與專(zhuān)家分析的其他樣本沒(méi)有相似之處。這個(gè)特洛伊木馬是用C++編寫(xiě)，并被用于針對(duì)中東組織的攻擊，其中至少有一些與工業(yè)部門(mén)有關(guān)。

進(jìn)一步調(diào)查導(dǎo)致發(fā)現(xiàn)了2019年5月感染系統(tǒng)的同一惡意軟件的其他樣本。Milum是在兩個(gè)月前編譯的，即2019年3月，威脅行為者使用租用的OVH和Netzbetrieb虛擬專(zhuān)用服務(wù)器(VPS)，并使用通過(guò)代理匿名服務(wù)注冊(cè)的域。

對(duì) Milum代碼的分析表明，它與涉及已知APT組織的其他操作的惡意軟件沒(méi)有相似之處。

2019年9月，卡巴斯基研究人員成功破解了APT組織(upiserversys1212[.]com)使用的其中一個(gè)C2域。發(fā)現(xiàn)絕大多數(shù)訪(fǎng)問(wèn)者IP也來(lái)自中東，特別是來(lái)自伊朗，而其余的則是網(wǎng)絡(luò)掃描儀、TOR出口節(jié)點(diǎn)或VPN 連接。

針對(duì)Windows和macOS設(shè)備

瞄準(zhǔn)石油和天然氣行業(yè)

現(xiàn)在，該組織的活動(dòng)重新浮出水面，威脅參與者升級(jí)了其武器庫(kù)中的惡意軟件，以擴(kuò)展操作并針對(duì)Windows和macOS設(shè)備。而近期攻擊的目標(biāo)是石油和天然氣行業(yè)的組織。

專(zhuān)家發(fā)現(xiàn)，WildPressure還使用Python作為其惡意軟件的編程語(yǔ)言。研究人員發(fā)現(xiàn)了一個(gè)適用于Windows的PyInstaller模塊，其中包含一個(gè)名為“Guard”的腳本，他們還發(fā)現(xiàn)該惡意軟件是為Windows和macOS操作系統(tǒng)開(kāi)發(fā)的。

新的基于Python的木馬廣泛使用公開(kāi)的第三方代碼，一旦執(zhí)行就會(huì)收集系統(tǒng)信息(即機(jī)器的主機(jī)名、機(jī)器架構(gòu)和操作系統(tǒng)版本名稱(chēng))并將它們發(fā)送回遠(yuǎn)程服務(wù)器。惡意代碼還會(huì)枚舉正在運(yùn)行的進(jìn)程以檢查已安裝的反惡意軟件產(chǎn)品，然后等待來(lái)自C2服務(wù)器的命令。

該木馬支持多種命令，包括下載和上傳任意文件、執(zhí)行命令、更新木馬以及從受感染主機(jī)中清除、刪除持久性和腳本文件的能力。在其“串行”配置參數(shù)后，網(wǎng)絡(luò)安全人員將惡意軟件的VBScript版本跟蹤為T(mén)andis。

專(zhuān)家們還發(fā)現(xiàn)了許多以前未知的基于C++的插件，這些插件已被用于收集有關(guān)受感染系統(tǒng)的數(shù)據(jù)。

專(zhuān)家注意到，攻擊者同時(shí)使用VPS和受感染的服務(wù)器作為其基礎(chǔ)設(shè)施的一部分，大多數(shù)受感染的網(wǎng)站都運(yùn)行WordPress網(wǎng)站，這使受感染的合法網(wǎng)站充當(dāng)Guard中繼服務(wù)器。

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)WildPressure APT的技術(shù)與另一個(gè)名為BlackShadow的威脅參與者使用的技術(shù)之間存在細(xì)微的相似之處，后者也針對(duì)中東的組織，但這并不足以說(shuō)明他們之間存在聯(lián)系。

黑客目標(biāo)逐漸轉(zhuǎn)移至關(guān)鍵基礎(chǔ)設(shè)施

不難發(fā)現(xiàn)，在這幾年里網(wǎng)絡(luò)攻擊的目標(biāo)發(fā)生巨大轉(zhuǎn)變。傳統(tǒng)上，黑客一直專(zhuān)注于盜竊;竊取數(shù)據(jù)然后勒索錢(qián)財(cái)，這意味著攻擊往往涉及侵犯?jìng)€(gè)人信息或知識(shí)產(chǎn)權(quán)。但現(xiàn)在黑客攻擊的威脅性正在逐步上升。網(wǎng)絡(luò)攻擊現(xiàn)在涉及破壞制造業(yè)、能源生產(chǎn)和運(yùn)輸?shù)募夹g(shù)系統(tǒng)，黑客的核心目標(biāo)逐漸瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施。戰(zhàn)爭(zhēng)已經(jīng)轉(zhuǎn)移到網(wǎng)絡(luò)空間，現(xiàn)在是要保護(hù)好我們的關(guān)鍵基礎(chǔ)設(shè)施并采取主動(dòng)防御的時(shí)候了。

參讀鏈接：

https://securityaffairs.co/wordpress/119812/apt/wildpressure-apt-macos-malware.html