Phát hiện cuộc tấn công APT WildPressure bằng mã độc mới nhắm mục tiêu vào Windows và MacOS

t04ndv

Moderator
02/02/2021
18
85 bài viết
Phát hiện cuộc tấn công APT WildPressure bằng mã độc mới nhắm mục tiêu vào Windows và MacOS
Một chiến dịch độc hại nhắm vào các tổ chức công nghiệp ở Trung Đông bắt đầu từ năm 2019, sử dụng bộ công cụ phần mềm độc hại nguy hiểm tấn công hệ điều hành Windows và macOS, cho thấy sự mở rộng cả về mục tiêu và chiến lược.
macos-malware-fruitfly.png

Theo công ty an ninh mạng của Nga, đây là các cuộc tấn công mạng APT, được gọi với tên "Wildressure", nhắm mục tiêu vào ngành dầu khí.
WildPressure xuất hiện lần đầu vào tháng 3/2020, sử dụng Trojan C++ "Milum", cho phép kẻ tấn công chiếm quyền điều khiển từ xa thiết bị bị xâm nhập. Cũng có thông tin, các cuộc tấn công này xuất hiện sớm hơn, từ tháng 8/2019.
Nhà nghiên cứu Kaspersky cho biết: " Kẻ tấn công đã sử dụng các máy chủ riêng ảo OVH và Netzbetrieb (VPS) cho thuê và một miền được đăng ký với dịch vụ ẩn danh Domains by Proxy".
Từ đó, các mẫu mã độc mới được sử dụng trong các cuộc tấn công WildPressure "lộ diện", trong đó có biến thể của Milum Trojan C++, một loại khác thì hoạt động trên cả Windows và MacOS với tên "Guard".
Trojan đa hệ điều hành trên nền tảng Python, được tạo ra từ mã bên thứ ba, để cung cấp tên máy chủ, kiến trúc máy và phiên bản hệ điều hành cho một máy chủ từ xa và tìm kiếm các phần mềm diệt virus được cài đặt. Sau đó, Trojan chờ các lệnh từ máy chủ, cho phép tải xuống và tải lên các tệp tùy ý, thực hiện các lệnh, cập nhật Trojan và xóa dấu vết của nó khỏi máy chủ nạn nhân.
Phiên bản VBScript của phần mềm độc hại, có tên "Tandis", có những khả năng tương tự Guard và Milum, đồng thời tận dụng XML được mã hóa qua HTTP cho các giao tiếp lệnh và điều khiển (C2). Một số plugin C ++ chưa từng được biết đến trước đây được sử dụng để thu thập dữ liệu trên các hệ thống bị nhiễm, bao gồm ghi lại thao tác gõ bàn phím và chụp màn hình.
Chiến dịch tấn công gần đây nhất, ngoài dùng VPS thương mại, còn sử dụng các website WordPress hợp pháp tồn tại lỗ hổng để tấn công vào cơ sở hạ tầng, ở đó các trang đóng vai trò máy chủ trung gian.
Đến nay, cơ chế lây lan của mã độc vẫn chưa rõ ràng.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apt wildpressure macos wildpressure windows
Bên trên