WildPressure是一个从2019年8月起就开始在中东地区活跃的高级可持续威胁(APT)行为者。卡巴斯基一直在追踪该威胁行为者使用的一种被称为Milum的恶意木马。
macOS 特定的代码片段,用于检查另一个木马实例是否已在运行
WildPressure是一个从2019年8月起就开始在中东地区活跃的高级可持续威胁(APT)行为者。卡巴斯基一直在追踪该威胁行为者使用的一种被称为Milum的恶意木马。在调查该威胁行为者发起的似乎是针对工业部门的最新攻击之一时,卡巴斯基研究人员发现了用不同编程语言编写的该恶意软件的较新版本。其中一个版本能够感染并在 Windows 和 macOS 系统上运行。
在威胁狩猎过程中,很多发现都是从一个小线索中展开的,这次的攻击行动也不例外。通常情况下,一旦一台设备被木马感染,恶意软件会向攻击者的服务器发送一个信标,其中包含被感染设备的信息、网络设置、用户名和其他相关信息。这有助于攻击者确定受感染的设备是否有意义。然而,在Milum的感染案例中,它还会发送有关编写它的编程语言的信息。在2020年首次调查该攻击活动时,卡巴斯基研究人员怀疑,这表明该木马存在不同语言的不同版本。现在,这一理论已被证实。
2021年春,卡巴斯基发现WildPressure 发起了一次新攻击,这些攻击是使用一套较新的Milum恶意软件版本进行的。发现的文件包含用C++编写的Milum木马和相应的Visual Basic Script(VBScript)变种。对这次攻击的进一步调查发现了另一个用 Python 编写的恶意软件版本,它是为 Windows 和 macOS 操作系统开发的。所有三个版本的木马都能够从操纵者那里下载和执行命令,收集信息,并将自己升级到更新的版本。
能够感染运行macOS的设备的多平台恶意软件较为罕见。这个特殊的样本是以一个包的形式交付的,其中包含恶意软件、Python库文件以及一个名为“Guard”的脚本。这使得恶意软件无需额外工作即可在 Windows 和 macOS 上启动。一旦感染设备,恶意软件会运行依赖于操作系统的代码,以实现持久化和数据收集。在 Windows 上,脚本与 PyInstaller 捆绑到可执行文件中。 Python 木马还能够检查设备上是否正在运行安全解决方案
“WildPressure的运营者的兴趣仍留在同一地理区域。恶意软件作者开发了多个版本的类似木马,并且他们有一个版本控制系统。以多种语言开发类似恶意软件的原因很可能是为了降低被检测到的可能性。这种策略在 APT行为者中并不是独一无二的,但我们很少看到适合同时在两个系统上运行的恶意软件,即使是以Python脚本的形式实现的。另一个奇怪的特点是该恶意软件的一个目标系统是macOS,考虑到威胁行为者的地理利益,这个目标有点令人惊讶,”卡巴斯基全球研究和分析团队高级安全研究员Denis Legezo评论说。
更多有关新WildPressure样本的详情,请访问Securelist.
为了避免成为针对性攻击的受害者,卡巴斯基专家建议:
不要认为使用不常见的操作系统就能够屏蔽威胁,事实上并非如此。使用一款可靠的安全解决方案是必须的,无论您使用的是何种系统或设备。
确保定期更新您的组织中使用的所有软件,特别是在新的安全补丁发布时。具备漏洞评估和补丁管理功能的安全产品可以帮助实现这些过程的自动化。
选择一款经过验证的安全解决方案,如卡巴斯基端点安全,它配备了基于行为的检测功能,可以有效地防止已知和未知的威胁,包括漏洞。
除了采用基础的端点保护之外,还要部署能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
确保您的员工得到基础的网络安全卫生知识培训,因为许多针对性的攻击是从网络钓鱼或其他社会工程手段开始的。
确保您的安全团队能够访问最新的网络威胁情报。卡巴斯基APT情报报告服务的客户可以获得有关威胁形势最新发展的私人报告。
通过GReAT专家开发的卡巴斯基逆向工程在线培训,提高您的安全运营中心(SOC)团队应对最新针对性威胁的能力。