ΑρχικήsecurityAPT χάκερς στοχεύουν την Μέση Ανατολή χρησιμοποιώντας το Milum RAT

APT χάκερς στοχεύουν την Μέση Ανατολή χρησιμοποιώντας το Milum RAT

Η WildPressure είναι μια νέα ομάδα χάκερς APT (Advanced Persistent Threat) η οποία έχει ως στόχο οργανισμούς που βρίσκονται στη Μέση Ανατολή μεταφέροντας σε αυτούς το Milum RAT για να αποκτήσει απομακρυσμένη πρόσβαση και συνεπώς τον έλεγχο της στοχοποιημένης συσκευής. Το Milum RAT εντοπίστηκε για πρώτη φορά σε μια εκστρατεία που έλαβε χώρα από ερευνητές της Kaspersky τον Αύγουστο του 2019, ενώ το RAT γράφτηκε στην γλώσσα προγραμματισμού C ++. Αξίζει να σημειωθεί ωστόσο ότι η νέα malware εκστρατεία δεν φαίνεται να παρουσιάζει ομοιότητες με καμία προηγούμενη εκστρατεία.

Η malware εκστρατεία της WildPressure έχει ως στόχο την περιοχή της Μέσης Ανατολής
Η ομάδα των APT χάκερς στοχοποιεί βιομηχανικούς τομείς στη Μέση Ανατολή από το Μάιο του 2019, όταν ο μηχανισμός διάδοσης του Milum RAT δεν είχε γίνει ακόμη γνωστός. To Trojan με την ονομασία Milum εγκαθίσταται στην στοχοποιημένη συσκευή ως ένα αόρατο παράθυρο γραμμής εργαλείων, το οποίο έχει ως βασική λειτουργία την δημιουργία ενός ξεχωριστού thread για επικοινωνία.
Οι ερευνητές της Kaspersky επίσης διαπίστωσαν ότι το κακόβουλο λογισμικό κάνει πολλές zlip λειτουργίες συμπίεσης, όπως zlibVersion, inflate ή deflate.
Στη συνέχεια, αποκωδικοποιώντας τα δεδομένα διαμόρφωσης της στοχοποιημένης συσκευής, το Milum αποκτά παραμέτρους όπως οι “clientid” και “encrypt_key” για να τις χρησιμοποιήσει σε κρυπτογράφηση RC4.
Το πρωτόκολλο επικοινωνίας C2 είναι πάνω από το HTTP και έχει την έκδοση malware-1.0.1. Αυτό αποδεικνύει ότι βρίσκεται στα αρχικά στάδια της ανάπτυξης.
Ο αλγόριθμος RC4 είναι ο μόνος αλγόριθμος κρυπτογράφησης που χρησιμοποιείται με διαφορετικά 64 – byte keys που βασίζονται στο θύμα. Με βάση τα C2 domains (upiserversys1212 [.] Com), η πλειοψηφία των IP των επισκεπτών προέρχεται από τη Μέση Ανατολή.

Για να ξεκινήσουν την εκστρατεία οι APT χάκερς νοίκιασαν εικονικούς ιδιωτικούς servers (VPS) από την OVH και καταχώρησαν domains με υπηρεσία ανωνυμοποίησης διακομιστή μεσολάβησης. Η WildPressure φαίνεται να αποτελεί μια νέα ομάδα της οποίας η επιχείρηση είναι μοναδική, δεδομένου ότι δεν παρουσιάζει καμία ομοιότητα με άλλες εκστρατείες κακόβουλου λογισμικού.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS