惡意軟體「WildPressure」利用未知木馬攻擊中東的一些機構
網路攻擊(某些是針對工業目標的攻擊)使用了以前未知的木馬,稱為Milum。
一項針對中東組織的惡意軟體的活動日前已經被發現,該活動與以前的攻擊活動沒有任何相似之處。該活動以代碼內的C 類名「WildPressure」為自己命名,使用了以前未知的惡意軟體,研究人員將其命名為Milum。
卡巴斯基的研究員在9月份的時候破壞了WildPressure命令與控制(C2)域中的一個,他們表示,訪問惡意基礎框架的IP中,大部分是來自中東的,而其餘的IP則包括掃描儀、TOR出口節點、VPN鏈接。卡巴斯基發現,受害者也包括一些工業目標。
這項研究表明,這個惡意軟體會執行基本的系統偵察工作,包括清點存放在受感染機器上的文件類型。而且,它還可以從其C2獲取更新,這更新中也有可能包括一些第二階段的功能。
簡單直接
卡巴斯基安全研究員丹尼斯·萊格佐(Denis Legezo)在星期二的一篇文章中寫道,構建該木馬的方法非常簡單,舉個例子,所有的Milum示例都是獨立的可執行文件。
此外,代碼的內置配置數據包括硬編碼的C2 URL和用於通信的加密/解密密鑰。安裝後,該惡意軟體會創建一個名為「\ ProgramData \ Micapp \ Windows \」的目錄,並解析此配置數據,以形成發送到其C2的信標。
為了發送信標,Milum使用配置數據中存儲的64位元組密鑰在HTTP POST請求中傳輸壓縮的JSON數據,該數據使用RC4加密。而壓縮方面,該木馬使用的是嵌入式gzip代碼(gzip是一種流行的數據壓縮技術)。
卡巴斯基的研究人員發現,傳播最廣泛的是作為不可見工具欄窗口存在的應用程序,這意味著受害者是檢測不到它的。
困難歸因
至於功能方面,Milum代碼中的命令處理程序包括:用於連接到C2的指令;記錄文件屬性(包括目錄中的屬性,標記為隱藏、只讀、歸檔、系統、可執行文件);收集系統的信息以驗證目標並確定防病毒產品狀態;更新惡意軟體;刪除自己。
為了集中精力,操作員使用了樣本中也已硬編碼的目標ID。
Legezo說:「在這之中,我們發現了HatLandM30和HatLandid3,這兩者我們都不熟悉。」
然而,卡巴斯基方面表示,攻擊活動的剩餘部分都沒有任何線索,使歸因變得很困難。在活動基礎架構方面,運營商使用了從ISP OVH和Netzbetrieb租用的虛擬專用伺服器(VPS),以及使用通過代理匿名服務在Domains中註冊的域名。
Legezo還表示,惡意軟體作者使用的C 代碼方式(存儲在二進位文件的資源部分中的base64編碼JSON格式的配置數據)相當通用。
Legezo解釋說:
迄今為止,我們還沒有觀察到與任何已知的actor或活動有關的基於代碼或受害者的強烈相似之處。任何相似之處在歸因方面都應被視為薄弱環節,並且可以簡單地從以前的著名案例中複製出來。的確,近年來,這種「向更有經驗的攻擊者學習」的循環已被一些有趣的新actor採用。
值得一看
研究人員發現了三個此前未被發現的循環傳播的木馬樣本。所有這些都是在去年3月份的時候首次編譯的,而感染是在去年5月底時開始的,也就是說這木馬感染活動是全年都在持續的。
該時間表與其他方面相結合,使得Legezo懷疑該惡意軟體還處於開發的早期階段,他預計惡意軟體還會有後續其他的活動。
首先,樣本上有一個「1.0.1」的版本標記。並且,在用於與命令和控制(C2)伺服器進行通信的HTTP POST請求中,有一些欄位可以選擇使用不同的編程語言,這就表示他們或許有計劃啟用非C 版本的代碼(如果現存代碼中還沒有的話)。
Legezo說:
我們考慮保留這些文件的唯一原因是,如果攻擊者擁有數種以不同語言編寫的木馬,就可以與同一個控制伺服器一起工作。
Legezo補充說明,Milum值得觀察,特別是考慮到它對中東工業目標的襲擊。但是,其個性的缺乏,可能使其在將來的戰役中成為變色龍。他總結表示,該惡意軟體並非專門針對任何類型的受害者而設計的,可以在其他操作中重複使用。
參考及來源:https://threatpost.com/wildpressure-malware-campaign-middle-east/154101/
