一直以中东工业组织为目标WildPressure APT 组织现在被发现用于目标Windows和macOS新恶意软件。
7月7日,卡巴斯基公布了一个新发现,在2020年3月被发现的Milum恶意软件已经通过PyInstalle包重组,包括和Windows和macOS系统兼容的木马程序,黑网站可以被黑APT组织下载和上传文件并执行命令。
卡巴斯基的研究人员表示,这个名为“Guard”木马是针对的Windows和macOS系统开发。
这种基于Python新木马通常使用开放的第三方代码。也就是说,一旦执行,它将收集系统信息(即机器的主机名称、机器架构和操作系统的名称),并将这些信息发送到远程服务器。恶意代码还将列出操作过程,检查已安装的反恶意软件产品,然后等待C2服务器命令。
木马支持各种命令,包括下载和上传任何文件、执行命令、更新木马、清理和删除持久性和感染主机的脚本文件。
此外,研究人员还发现了一些以前未知的基础C 的插件,用来收集被攻击系统的数据。
在这次攻击中,除了商业,vps,该APT该组织还利用被入侵的法律WordPress网站以充当“Guard”木马中继服务器。
虽然没有“实锤”,但卡巴斯基推测这次他们的目标应当为石油和天然气行业。
值得一提的是,通过对样本的分析,卡巴斯基还发现了该组织的技术和另一个名称BlackShadow的APT 组织使用的技术略有相似之处,后者也针对中东组织。也许这一发现将成为组织归因的重要依据。
WildPressure 真实身份仍未知
WildPressure2019年8月首次被发现。当时,研究人员发现了一个从未见过的恶意软件,称之为Milum,也就是这次发现的恶意软件“原型”。
该木马是用C 语言编写,用于攻击中东组织。可以肯定的是,有些组织与工业部门有关。
经过进一步调查,研究人员发现早在2019年5月Milum其他版本的恶意软件已经感染了一些系统。
到目前为止,还没有观察到Wild Pressure基于代码或受害者与任何已知组织有强烈的相似之处。
他们的C 代码很常见,涉及配置数据和通信协议。恶意软件存储在二进制文件资源中base64编码的JSON配置格式数据,使用标准模板库(STL)分析函数。然而,这些共性对归因没有足够的结论。