La campagne de malware WildPressure sévit au Moyen-Orient

Une campagne de logiciels malveillants nommée “WildPressure” et qui ne présente aucune similitude connue avec les attaques précédentes a été découverte. Elle semble cibler des organisations au Moyen-Orient. La campagne a utilisé un malware auparavant inconnu que les chercheurs ont nommé Milum, en s’inspirant des noms de classe C ++ à l’intérieur du code.

Selon des chercheurs de Kaspersky, qui ont créé un sinkhole pour l’un des domaines de commande et de contrôle (C2) de WildPressure en Septembre, la grande majorité des adresses IP des visiteurs de l’infrastructure malveillante provenaient du Moyen-Orient, le reste étant composé de scanners , nœuds de sortie TOR ou connexions VPN. Parmi les victimes on trouve aussi des cibles industrielles.

wildpressure

Le logiciel malveillant de la campagne WildPressure effectue une reconnaissance de base du système, y compris l’inventaire des types de fichiers hébergés sur les machines infectées. Et, il peut récupérer les mises à jour de son C2, ce qui pourrait inclure des fonctionnalités supplémentaires de deuxième phase.

WildPressure est simple et direct

L’approche utilisée par WildPressure pour construire le cheval de Troie est très simple, a expliqué Denis Legezo, chercheur en sécurité chez Kaspersky, dans un article. Par exemple, toutes les variantes Milum sont des fichiers exécutables autonomes, a découvert le chercheur.

En outre, les données de configuration intégrées du code incluent des URL C2 codées en dur et des clés de chiffrement/déchiffrement pour la communication. Une fois installé, le malware créera un répertoire appelé “\ProgramData\Micapp\Windows\” et analysera ces données de configuration afin de former une balise à envoyer à un serveur C2 de la campagne WildPressure.

Pour envoyer la balise, Milum transmet des données JSON compressées dans des requêtes HTTP POST qui sont chiffrées avec RC4, à l’aide d’une clé de 64 octets stockée dans les données de configuration. Pour la compression, le cheval de Troie utilise un code gzip intégré (gzip est une technologie de compression de données populaire).

milum

La variante la plus répandue observée par les chercheurs de Kaspersky dans leur télémétrie est une application qui existe sous la forme d’une fenêtre de barre d’outils invisible, ce qui signifie qu’elle est indétectable pour les victimes de WildPressure.

Une attribution difficile

En ce qui concerne les fonctionnalités, les gestionnaires de commandes dans le code de Milum incluent des instructions pour se connecter au C2; enregistrer les attributs des fichiers, y compris ceux du répertoire (marqués comme masqués, en lecture seule, archive, système ou exécutable), recueillir des informations système pour valider la cible et déterminer l’état de la solution antivirus, mettre à jour le logiciel malveillant, et se supprimer lui-même.

Pour concentrer leurs efforts, les opérateurs de la campagne WildPressure utilisent des identifiants cibles également codés en dur dans les échantillons.

«Parmi eux, nous avons trouvé HatLandM30 et HatLandid3 – et nous ne connaissons ni l’un ni l’autre», a déclaré Legezo.

Cependant, le reste de la campagne WildPressure défie toute tentative de récupération d’empreinte digitale, ce qui rend l’attribution difficile, selon Kaspersky. En termes d’infrastructure de campagne, les opérateurs ont utilisé des serveurs privés virtuels (VPS) loués auprès des hébergeurs OVH et Netzbetrieb, et un domaine enregistré auprès du service d’anonymisation Domains by Proxy.

En outre, l’approche de code C ++ utilisée par les auteurs de logiciels malveillants (données de configuration au format JSON, encodées en base64 et stockées dans la section des ressources du binaire) est assez générique, a écrit Legezo.

“À ce jour, nous n’avons observé aucune forte similitude basée sur le code ou sur la victime avec un acteur malveillant ou un ensemble d’activités connu”, a expliqué Legezo. «Toutes les similitudes doivent être considérées comme faibles en termes d’attribution, et peuvent simplement être des techniques copiées à partir de cas précédents bien connus. En effet, ce cycle «d’apprentissage des attaques précédentes» a été adopté par de nouveaux acteurs malveillants ces dernières années. »

À surveiller

Les chercheurs ont trouvé trois variantes de chevaux de Troie circulant dans la nature. Toutes ont été compilés pour la première fois en Mars 2019 et les infections ont commencé à la fin du mois de Mai 2019, elles se sont poursuivies tout au long de l’année.

Cette chronologie, combinée à d’autres aspects, conduit Legezo à soupçonner que le logiciel malveillant en est aux premiers stades de développement et que d’autres activités sont à prévoir.

Tout d’abord, il y a un tampon «version 1.0.1» sur les échantillons. Et, à l’intérieur des requêtes HTTP POST utilisées pour communiquer avec le serveur de commande et de contrôle (C2), il existe des champs pour choisir différents langages de programmation, indiquant qu’il existe des plans pour des versions non C ++ du code.

“La seule raison à laquelle nous pourrions penser pour les conserver est que ces pirates informatiques ont plusieurs chevaux de Troie, écrits dans différentes langues, pour fonctionner avec le même serveur de contrôle”, a déclaré Legezo.

Milum mérite d’être surveillé, en particulier compte tenu de ses attaques contre des cibles industrielles du Moyen-Orient, a ajouté Legezo. Cependant, son simple manque de personnalité pourrait lui permettre de devenir un peu un caméléon dans les futures campagnes, a-t-il conclu: “Le malware n’est pas exclusivement conçu pour un certain type de victime en particulier et pourrait être réutilisé dans d’autres opérations.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x