WildPressureAPT一直以中东的工业组织为目标,现已被发现使用适用于Windows和macOS的新恶意软件。7月7日,卡巴斯基公布了一项新发现,2020年3月发现的Milum恶意软件现已通过PyInstalle包进行了重组,其中包含兼容Windows和macOS系统的木马程序。该APT组织可以使用被黑网站下载和上传文件以及执行命令。卡巴斯基研究人员表示,这款名为“Guard”的木马是为Windows和macOS系统开发的。这种新的基于Python的木马程序通常使用公开的第三方代码。也就是说,一旦执行,它就会收集系统信息(即机器的主机名、机器架构和操作系统版本名称)并将这些信息发送到远程服务器。恶意代码还会枚举正在运行的进程以检查是否安装了反恶意软件产品,然后等待来自C2服务器的命令。该木马支持多种命令,包括下载和上传任意文件、执行命令、更新木马以及清理和删除持久性和受感染的主机脚本文件。此外,研究人员还发现了一些以前未知的基于C++的插件,用于收集受感染系统上的数据。在此次攻击中,APT组织除了使用商业vps外,还利用被攻陷的合法WordPress网站充当“卫士”木马的中继服务器。虽然没有“真锤”,但卡巴斯基推测他们这次的目标应该是石油和天然气行业。值得一提的是,通过对该样本的分析,卡巴斯基还发现该组织所使用的技术与另一个名为BlackShadow的APT组织所使用的技术略有相似,该组织同样针对中东地区的组织。或许这一发现将成为未来组织归因的重要依据。WildPressure的真实身份仍然未知WildPressure于2019年8月首次被发现。当时,研究人员检测到一种前所未见的恶意软件,他们将其称为Milum,即新恶意软件的“原型”。该木马使用C++语言编写,用于对中东地区组织发起攻击。当然,其中一些组织与工业部门有关。进一步调查后,研究人员发现,早在2019年5月,其他版本的Milum恶意软件就已经感染了部分系统。到目前为止,在WildPressure和任何已知组织之间没有观察到基于代码或受害者的强烈相似性。他们的C++代码非常普遍,涉及配置数据和通信协议,恶意软件使用base64编码的JSON格式的配置数据存储在二进制文件的资源部分,并使用标准模板库(STL)函数进行解析。然而,这些共性不足以确定归因。
