目标石油和天然气行业！WildPressure新恶意软件针对Windows和macOS – 作者:中科天齐软件安全中心

网络安全人员发现Wild Pressure APT小组使用一种新的恶意软件针对Windows 和 macOS 系统。

Wild Pressure的“前世今生”

WildPressure于2019年8月首次被发现，当时研究人员检测到一种前所未见的恶意软件Milum，该恶意软件与专家分析的其他样本没有相似之处。这个特洛伊木马是用C++编写，并被用于针对中东组织的攻击，其中至少有一些与工业部门有关。

进一步调查导致发现了2019年5月感染系统的同一恶意软件的其他样本。Milum是在两个月前编译的，即2019年3月，威胁行为者使用租用的OVH和Netzbetrieb虚拟专用服务器，并使用通过代理匿名服务注册的域。

对 Milum代码的分析表明，它与涉及已知APT组织的其他操作的恶意软件没有相似之处。

2019年9月，卡巴斯基研究人员成功破解了APT组织(upiserversys1212[.]com)使用的其中一个C2域。发现绝大多数访问者IP也来自中东，特别是来自伊朗，而其余的则是网络扫描仪、TOR出口节点或VPN 连接。

针对Windows和macOS设备，瞄准石油和天然气行业

现在，该组织的活动重新浮出水面，威胁参与者升级了其武器库中的恶意软件，以扩展操作并针对Windows和macOS设备。而近期攻击的目标是石油和天然气行业的组织。

专家发现，WildPressure还使用Python作为其恶意软件的编程语言。研究人员发现了一个适用于Windows的PyInstaller模块，其中包含一个名为“Guard”的脚本，他们还发现该恶意软件是为Windows和macOS操作系统开发的。

新的基于Python的木马广泛使用公开的第三方代码，一旦执行就会收集系统信息(即机器的主机名、机器架构和操作系统版本名称)并将它们发送回远程服务器。恶意代码还会枚举正在运行的进程以检查已安装的反恶意软件产品，然后等待来自C2服务器的命令。

该木马支持多种命令，包括下载和上传任意文件、执行命令、更新木马以及从受感染主机中清除、删除持久性和脚本文件的能力。在其“串行”配置参数后，网络安全人员将恶意软件的VBScript版本跟踪为Tandis。

专家们还发现了许多以前未知的基于C++的插件，这些插件已被用于收集有关受感染系统的数据。

专家注意到，攻击者同时使用虚拟专用服务器和受感染的服务器作为其基础设施的一部分，大多数受感染的网站都运行WordPress网站，这使受感染的合法网站充当Guard中继服务器。

网络安全研究人员发现WildPressure APT的技术与另一个名为BlackShadow的威胁参与者使用的技术之间存在细微的相似之处，后者也针对中东的组织，但这并不足以说明他们之间存在联系。

黑客目标逐渐转移至关键基础设施

不难发现，在这几年里网络攻击的目标发生巨大转变。传统上，黑客一直专注于盗窃;窃取数据然后勒索钱财，这意味着攻击往往涉及侵犯个人信息或知识产权。但现在黑客攻击的威胁性正在逐步上升。网络攻击现在涉及破坏制造业、能源生产和运输的技术系统，黑客的核心目标逐渐瞄准关键基础设施。战争已经转移到网络空间，现在是要保护好我们的关键基础设施并采取主动防御的时候了。

参读链接

https://securityaffairs.co/wordpress/119812/apt/wildpressure-apt-macos-malware.html

来源：freebuf.com 2021-07-12 11:54:38 by: 中科天齐软件安全中心