WildPressure APT

En 2019, une campagne menaçante déployant un cheval de Troie à part entière contre des cibles liées à l'industrie au Moyen-Orient n'a pas réussi à égaler les TTP (Tactiques, Techniques et Procédures) des acteurs de la menace déjà établis dans la région. En conséquence, il a été attribué à un nouveau groupe ATP (Advanced Persistent Threat) sous la désignation WildPressure.

Depuis cette opération initiale, les pirates semblent avoir consacré beaucoup d'efforts à étendre et à améliorer leur arsenal d'outils nuisibles. En effet, une nouvelle campagne portant les signes de WildPressure déploie désormais plusieurs menaces de malwares inédites, dont l'une est capable de compromettre les systèmes macOS. Les victimes sont à nouveau originaires du Moyen-Orient et, selon une estimation provisoire, elles sont liées au secteur pétrolier et gazier.

WildPressure a également diversifié son infrastructure. L'opération 2019 consistait en VPS (Virtual Private Servers) tandis que la campagne actuelle comprend également plusieurs sites WordPress légitimes qui ont été compromis. Parmi eux se trouvent « hxxp://adelice-formation[.]eu », « hxxp://ricktallis[.]com/news », « hxxp://whatismyserver123456[.]com », « hxxp://www. glisru[.]eu' et 'hxxp://www.mozh[.]org.'

Le cheval de Troie Milum

La menace initiale du cheval de Troie a été abandonnée par WildPressure. Il est écrit en C++ et utilise le format JSON pour ses données de configuration. Le même format est également utilisé dans la communication avec le serveur Command-and-Control (C2, C&C). Le seul cryptage observé dans Milum est RC4 mais la menace utilise une clé différente de 64 octets pour chaque victime. Sur l'appareil compromis, le cheval de Troie prend la forme d'une fenêtre de barre d'outils invisible. Ses capacités menaçantes incluent l'exécution des commandes reçues, le téléchargement des données sur le serveur, l'obtention des détails du fichier et du système, la génération et l'exécution d'un script batch qui supprime Milum du système ainsi que la mise à jour elle-même si une nouvelle version est publiée par les pirates.

Le cheval de Troie de la garde

Cette menace malveillante est écrite en Python et peut infecter les systèmes Windows et macOS. Il semble que lors de sa création, les pirates de WildPressure aient été fortement inspirés et se soient appuyés sur du code tiers accessible au public. Dans l'ensemble, la menace partage de nombreuses similitudes avec les autres outils WildPressure, en particulier en ce qui concerne le style de codage, sa conception et le protocole de communication C2. Les chercheurs d'Infosec pensent que le cheval de Troie Guard est toujours en cours de développement.

L'une des premières fonctions activées spécifiquement sur les appareils macOS consiste à déterminer si une autre instance du cheval de Troie n'est pas déjà en cours d'exécution. Le mécanisme de persistance est naturellement aussi différent. Sur les appareils Windows, le cheval de Troie crée une clé de registre RunOnce Software\Microsoft\Windows\CurrentVersion\RunOnce\gd_system. Pour les systèmes macOS, cependant, Guard décode un document XML, puis génère un fichier plist. Le malware utilise ensuite le contenu de ce fichier dans $HOME/Library/LaunchAgents/com.apple.pyapple.plist pour s'exécuter automatiquement. La menace utilise également des méthodes distinctes pour obtenir des détails sur le système en fonction du système d'exploitation. En ce qui concerne ses capacités, Guard peut être chargé de télécharger des fichiers supplémentaires sur le système violé, de télécharger des fichiers d'intérêt sur le serveur C2, d'exécuter des commandes, de récupérer une nouvelle version ou d'effectuer une routine de nettoyage pour supprimer ses traces du système.

Le cheval de Troie Tandis

Tandis est une menace VBScript à déchiffrement automatique. Comparé au cheval de Troie Guard, Tandis ne cible que les systèmes Windows et s'appuie fortement sur les requêtes WQL. Cependant, sinon, sa fonctionnalité est largement cohérente avec celle de Guard et des autres menaces WildPressure. Il atteint la persistance via les registres système et est capable d'exécuter furtivement des commandes, de déposer des charges utiles supplémentaires sur le système, de télécharger les fichiers choisis se mettant à jour, d'exécuter une routine de nettoyage et de prendre les empreintes digitales de l'hôte. Plus précisément, Tandis recherche tous les produits de sécurité installés à l'exception de Defender.

Plugins C++ malveillants

Plusieurs modules interconnectés simplistes écrits en C++ ont également été découverts. Ils se composent d'un orchestrateur et de plusieurs plugins effectuant des tâches spécifiques. Le module principal (Orchestrator) vérifie si un fichier de configuration nommé 'thumbnail.dat' est présent sur le périphérique violé. L'emplacement exact de ce fichier varie en fonction de la version du système d'exploitation Windows. L'orchestrateur s'exécute toutes les deux minutes et analyse le fichier de configuration à la recherche des informations requises pour exécuter un plug-in spécifique.

Les plugins corrompus prennent la forme de DLL. L'un des plugins découverts est capable d'obtenir des informations extrêmement détaillées sur le système via des requêtes WQL. Les données collectées incluent la version du système d'exploitation, les correctifs du système d'exploitation installés, les fabricants de BIOS et de disque dur, tous les produits logiciels installés et en cours d'exécution, les produits de sécurité installés et en cours d'exécution, les comptes d'utilisateurs, les paramètres des adaptateurs réseau, etc. Deux plugins supplémentaires sont chargés d'établir des routines d'enregistrement de frappe. Le premier définit un hook WH_KEYBOARD_LL et peut ensuite capturer les frappes ainsi que intercepter le contenu du presse-papiers et les titres Windows. L'autre plugin est chargé de prendre des captures d'écran du système en fonction des événements de la minuterie et de la souris en définissant un hook WH_MOUSE_LL.