自 2019 年以来,一场针对中东工业相关实体的恶意活动重新浮出水面,升级后的恶意软件工具集可攻击 Windows 和 macOS 操作系统,这象征着其目标和围绕分发威胁的战略的扩张。
俄罗斯网络安全公司将这些攻击归因于一种高级持续威胁 (APT),它被称为“ WildPressure ”,据信受害者来自石油和天然气行业。
WildPressure 于 2020 年 3 月首次曝光,该恶意软件操作分发了一个名为“Milum”的全功能 C++ 木马,使威胁行为者能够远程控制受感染设备。据说这些袭击最早于 2019 年 8 月开始。
“对于他们的竞选基础设施,运营商使用租用的 OVH 和 Netzbetrieb 虚拟专用服务器 (VPS) 以及在 Domains by Proxy 匿名服务注册的域,”卡巴斯基研究员 Denis Legezo去年指出。
从那时起,人们发现了 WildPressure 活动中使用的新恶意软件样本,包括更新版本的 C++ Milum 木马、具有相同版本号的相应 VBScript 变体,以及可在 Windows 和 macOS 上运行的名为“Guard”的 Python 脚本。
基于 Python 的多操作系统木马广泛使用公开可用的第三方代码,旨在将受害机器的主机名、机器架构和操作系统版本名称发送到远程服务器,并检查安装的反恶意软件产品,如下所示:它等待来自服务器的命令,允许它下载和上传任意文件、执行命令、更新特洛伊木马并从受感染的主机上清除其踪迹。
该恶意软件的 VBScript 版本名为“Tandis”,具有与 Guard 和 Milum 相似的功能,同时利用 HTTP 上的加密 XML 进行命令和控制 (C2) 通信。另外,卡巴斯基表示,它发现了许多以前未知的 C++ 插件,这些插件已被用于收集有关受感染系统的数据,例如记录击键和捕获屏幕截图。
更重要的是,在似乎是作案手法的演变中,最新的活动——除了依赖商业 VPS——还将受损的合法 WordPress 网站编织到他们的攻击基础设施中,这些网站充当 Guard 中继服务器。
迄今为止,恶意软件传播机制尚无明确可见性,也与其他已知威胁行为者没有任何基于代码或基于受害者的强相似性。然而,研究人员表示,他们发现另一个名为 BlackShadow 的对手使用的技术存在轻微联系,该对手也在同一地区开展活动。
“策略不够独特,无法得出任何归因结论——这两个群体可能只是使用相同的通用技术和编程方法,”Legezo 说。
极牛网精选文章《WildPressure APT 出现了针对 Windows 和 macOS 的新恶意软件》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15328.html