Une campagne malveillante qui vise des entités liées à l’industrie au Moyen-Orient depuis 2019 a refait surface avec un ensemble d’outils malveillants mis à niveau pour frapper les systèmes d’exploitation Windows et macOS, symbolisant une expansion à la fois de ses cibles et de sa stratégie de distribution des menaces.
La société russe de cybersécurité a attribué les attaques à une menace persistante avancée (APT) qu’elle suit comme « WildPressure« , dont les victimes seraient dans l’industrie pétrolière et gazière.
WildPressure a été révélé pour la première fois en mars 2020 sur la base d’une opération de malware distribuant un cheval de Troie C++ complet surnommé « Milum » qui a permis à l’acteur de la menace de prendre le contrôle à distance de l’appareil compromis. Les attaques auraient commencé dès août 2019.
« Pour leur infrastructure de campagne, les opérateurs ont utilisé des serveurs privés virtuels (VPS) OVH et Netzbetrieb loués et un domaine enregistré auprès du service d’anonymisation Domains by Proxy », a déclaré Denis Legezo, chercheur chez Kaspersky. c’est noté l’année dernière.
Depuis lors, de nouveaux échantillons de logiciels malveillants utilisés dans les campagnes WildPressure ont été découverts, notamment une version plus récente du cheval de Troie C++ Milum, une variante VBScript correspondante avec le même numéro de version et un script Python nommé « Guard » qui fonctionne à la fois sous Windows et macOS.
Le cheval de Troie multi-OS basé sur Python, qui utilise largement du code tiers accessible au public, est conçu pour baliser le nom d’hôte, l’architecture de la machine et le nom de version du système d’exploitation de la machine victime sur un serveur distant et vérifier les produits anti-malware installés, en suivant lequel il attend des commandes du serveur qui lui permettent de télécharger et de télécharger des fichiers arbitraires, d’exécuter des commandes, de mettre à jour le cheval de Troie et d’effacer ses traces de l’hôte infecté.
La version VBScript du malware, nommée « Tandis », présente des capacités similaires à celles de Guard et Milum, tout en tirant parti du code XML crypté sur HTTP pour les communications de commande et de contrôle (C2). Séparément, Kaspersky a déclaré avoir trouvé un certain nombre de plugins C++ auparavant inconnus qui ont été utilisés pour collecter des données sur les systèmes infectés, y compris l’enregistrement de frappes et la capture de captures d’écran.
De plus, dans ce qui semble être une évolution du modus operandi, la dernière campagne – en plus de s’appuyer sur des VPS commerciaux – a également intégré des sites Web WordPress légitimes compromis dans leur infrastructure d’attaque, les sites Web servant de serveurs relais de garde.
À ce jour, il n’y a ni visibilité claire concernant le mécanisme de propagation des logiciels malveillants ni aucune similitude forte basée sur le code ou les victimes avec d’autres acteurs connus de la menace. Cependant, les chercheurs ont déclaré avoir repéré des liens mineurs dans les techniques utilisées par un autre adversaire appelé BlackShadow, qui opère également dans la même région.
Les « tactiques ne sont pas assez uniques pour arriver à une conclusion d’attribution – il est possible que les deux groupes utilisent simplement les mêmes techniques génériques et approches de programmation », a déclaré Legezo.