目标石油和天然气行业!WildPressure新恶意软件针对Windows和macOS
共 1455字,需浏览 3分钟
·
2021-07-12 11:57
网络安全人员发现Wild Pressure APT小组使用一种新的恶意软件针对Windows 和 macOS 系统。
Wild Pressure的“前世今生”
WildPressure于2019年8月首次被发现,当时研究人员检测到一种前所未见的恶意软件Milum,该恶意软件与专家分析的其他样本没有相似之处。这个特洛伊木马是用C++编写,并被用于针对中东组织的攻击,其中至少有一些与工业部门有关。
进一步调查导致发现了2019年5月感染系统的同一恶意软件的其他样本。Milum是在两个月前编译的,即2019年3月,威胁行为者使用租用的OVH和Netzbetrieb虚拟专用服务器(VPS),并使用通过代理匿名服务注册的域。
对 Milum代码的分析表明,它与涉及已知APT组织的其他操作的恶意软件没有相似之处。
2019年9月,卡巴斯基研究人员成功破解了APT组织(upiserversys1212[.]com)使用的其中一个C2域。发现绝大多数访问者IP也来自中东,特别是来自伊朗,而其余的则是网络扫描仪、TOR出口节点或VPN 连接。
针对Windows和macOS设备
瞄准石油和天然气行业
现在,该组织的活动重新浮出水面,威胁参与者升级了其武器库中的恶意软件,以扩展操作并针对Windows和macOS设备。而近期攻击的目标是石油和天然气行业的组织。
专家发现,WildPressure还使用Python作为其恶意软件的编程语言。研究人员发现了一个适用于Windows的PyInstaller模块,其中包含一个名为“Guard”的脚本,他们还发现该恶意软件是为Windows和macOS操作系统开发的。
新的基于Python的木马广泛使用公开的第三方代码,一旦执行就会收集系统信息(即机器的主机名、机器架构和操作系统版本名称)并将它们发送回远程服务器。恶意代码还会枚举正在运行的进程以检查已安装的反恶意软件产品,然后等待来自C2服务器的命令。
该木马支持多种命令,包括下载和上传任意文件、执行命令、更新木马以及从受感染主机中清除、删除持久性和脚本文件的能力。在其“串行”配置参数后,网络安全人员将恶意软件的VBScript版本跟踪为Tandis。
专家们还发现了许多以前未知的基于C++的插件,这些插件已被用于收集有关受感染系统的数据。
专家注意到,攻击者同时使用VPS和受感染的服务器作为其基础设施的一部分,大多数受感染的网站都运行WordPress网站,这使受感染的合法网站充当Guard中继服务器。
网络安全研究人员发现WildPressure APT的技术与另一个名为BlackShadow的威胁参与者使用的技术之间存在细微的相似之处,后者也针对中东的组织,但这并不足以说明他们之间存在联系。
黑客目标逐渐转移至关键基础设施
不难发现,在这几年里网络攻击的目标发生巨大转变。传统上,黑客一直专注于盗窃;窃取数据然后勒索钱财,这意味着攻击往往涉及侵犯个人信息或知识产权。但现在黑客攻击的威胁性正在逐步上升。网络攻击现在涉及破坏制造业、能源生产和运输的技术系统,黑客的核心目标逐渐瞄准关键基础设施。战争已经转移到网络空间,现在是要保护好我们的关键基础设施并采取主动防御的时候了。
参读链接:
https://securityaffairs.co/wordpress/119812/apt/wildpressure-apt-macos-malware.html