Η WildPressure είναι μια νέα ομάδα χάκερς APT (Advanced Persistent Threat) η οποία έχει ως στόχο οργανισμούς που βρίσκονται στη Μέση Ανατολή μεταφέροντας σε αυτούς το Milum RAT για να αποκτήσει απομακρυσμένη Accessed at και συνεπώς τον έλεγχο της στοχοποιημένης device. Το Milum RAT εντοπίστηκε για πρώτη φορά σε μια εκστρατεία που έλαβε χώρα από ερευνητές της Kaspersky τον Αύγουστο του 2019, ενώ το RAT γράφτηκε στην γλώσσα προγραμματισμού C ++. Αξίζει να σημειωθεί ωστόσο ότι η νέα malware εκστρατεία δεν φαίνεται να παρουσιάζει ομοιότητες με καμία προηγούμενη εκστρατεία.
Η malware εκστρατεία της WildPressure έχει ως στόχο την περιοχή της Μέσης Ανατολής
Η ομάδα των APT χάκερς στοχοποιεί βιομηχανικούς τομείς στη Μέση Ανατολή από το Μάιο του 2019, όταν ο μηχανισμός διάδοσης του Milum RAT δεν είχε γίνει ακόμη γνωστός. To Trojan με την ονομασία Milum εγκαθίσταται στην στοχοποιημένη συσκευή ως ένα αόρατο παράθυρο γραμμής εργαλείων, το οποίο έχει ως βασική function την δημιουργία ενός ξεχωριστού thread για επικοινωνία.
Οι ερευνητές της Kaspersky επίσης διαπίστωσαν ότι το κακόβουλο λογισμικό κάνει πολλές zlip λειτουργίες συμπίεσης, όπως zlibVersion, inflate ή deflate.
Στη συνέχεια, αποκωδικοποιώντας τα δεδομένα διαμόρφωσης της στοχοποιημένης συσκευής, το Milum αποκτά παραμέτρους όπως οι “clientid” και “encrypt_key” για να τις χρησιμοποιήσει σε encryption RC4.
Το πρωτόκολλο επικοινωνίας C2 είναι πάνω από το HTTP και έχει την έκδοση malware-1.0.1. Αυτό αποδεικνύει ότι βρίσκεται στα αρχικά στάδια της ανάπτυξης.
Ο αλγόριθμος RC4 είναι ο μόνος algorithm κρυπτογράφησης που χρησιμοποιείται με διαφορετικά 64 – byte keys που βασίζονται στο θύμα. Με βάση τα C2 domains (upiserversys1212 [.] Com), η πλειοψηφία των IP των επισκεπτών προέρχεται από τη Μέση Ανατολή.
Για να ξεκινήσουν την εκστρατεία οι APT χάκερς νοίκιασαν εικονικούς ιδιωτικούς servers (VPS) από την OVH και καταχώρησαν domains με υπηρεσία ανωνυμοποίησης διακομιστή μεσολάβησης. Η WildPressure φαίνεται να αποτελεί μια νέα ομάδα της οποίας η επιχείρηση είναι μοναδική, δεδομένου ότι δεν παρουσιάζει καμία ομοιότητα με άλλες εκστρατείες κακόβουλου λογισμικού.
