苹果再成目标,WildPressure APT 组织锁定macOS系统

安全
一直以中东的工业组织为目标的WildPressure APT 组织,现在被发现使用一种针对Windows和macOS的新恶意软件。

一直以中东的工业组织为目标的WildPressure APT 组织,现在被发现使用一种针对Windows和macOS的新恶意软件。

[[410448]]

7月7日,卡巴斯基公布了一个新发现,在2020年3月被发现的Milum恶意软件现已通过PyInstalle包进行了重组,其中包含了与Windows和macOS系统兼容的木马程序,被黑的网站可被该APT组织用来下载和上传文件并执行命令。

1625814765_60e7f6edeffecdb1e055d.png!small?1625814767246

卡巴斯基的研究人员表示,这个名为“Guard”的木马是针对Windows和macOS系统而开发的。

这种基于Python的新木马通常使用公开的第三方代码。也就是说,一旦执行,它就会收集系统信息(即机器的主机名、机器架构和操作系统发布名称),并将这些信息发送至远程服务器。恶意代码还会列举正在运行的进程,以检查已安装的反恶意软件产品,然后等待C2服务器的命令。

该木马支持多种命令,包括下载和上传任意文件、执行命令、更新木马,以及清理、删除持久性和受感染主机的脚本文件。

此外,研究人员还发现了一些以前未知的基于C++的插件,这些插件被用来收集被攻击系统的数据。

在此次攻击中,除了商业vps,该APT组织还利用了被入侵的合法WordPress网站以充当“Guard”木马的中继服务器。

虽然没有“实锤”,但卡巴斯基推测这次他们的目标应当为石油和天然气行业。

值得一提的是,通过对此次样本的分析,卡巴斯基还发现该组织的技术与另一个名为BlackShadow的APT 组织所使用的技术略有相似之处,而后者也是针对中东地区的组织。或许该发现会成为之后组织归因的重要依据。

WildPressure 真实身份依然未知

WildPressure于2019年8月首次被发现。当时研究人员检测到一个从未见过的恶意软件,并将其称为Milum,也就是此次发现的恶意软件的“原型”。

该木马是用C++语言编写的,被用来针对中东地区的组织发起攻击。可确定的是,其中一些组织与工业部门有关。

在对其进行进一步调查之后,研究人员发现早在2019年5月Milum恶意软件的其他版本就已经感染了一些系统。

目前为止,还没有观察到Wild Pressure与任何已知组织之间存在基于代码或受害者的强烈相似之处。

他们的C ++代码非常普遍,涉及配置数据和通信协议,恶意软件使用存储在二进制文件资源部分中的base64编码的JSON格式的配置数据,并使用标准模板库(STL)函数进行解析。但是,这些共通性对于归因而言还没有足够的结论性。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2020-09-14 13:56:18

Linux卡巴斯基恶意软件

2023-09-19 23:36:18

2022-05-30 11:50:45

僵尸网络Sysrv-K

2014-12-04 15:15:30

2021-08-01 12:17:48

恶意软件漏洞网络攻击

2016-03-06 22:36:04

2022-05-10 11:51:42

APT组织网络攻击

2012-01-11 11:01:59

CES 2012苹果语音识别技术

2016-06-13 09:18:21

2012-12-24 14:06:43

2011-12-07 21:22:55

苹果

2009-12-06 10:02:46

2012-11-22 14:16:51

2020-08-26 08:07:23

黑客网络钓鱼网络攻击

2022-01-13 10:09:26

微软MacOS系统漏洞

2021-06-28 15:13:49

SolarWinds黑客微软

2023-05-18 22:46:41

2020-10-10 10:40:20

APT组织分析

2023-11-17 11:29:28

2021-01-27 11:35:34

高级持续威胁APT网络安全
点赞
收藏

51CTO技术栈公众号