Wieloplatformowe szkodliwe oprogramowanie ugrupowania WildPressure atakuje systemy macOS na Bliskim Wschodzie

Od sierpnia 2019 roku badacze z firmy Kaspersky obserwują Milum - trojana wykorzystywanego przez zaawansowany cybergang WildPressure działający na Bliskim Wschodzie. Badając jeden z najnowszych ataków wymierzony w sektor przemysłowy, eksperci odkryli nowsze wersje szkodnika Milum, napisane w innych językach programowania. Jedna z nich potrafi infekować i uruchamiać się zarówno w systemach Windows, jak i macOS.


Wiele odkryć dokonywanych podczas wyszukiwania zagrożeń zaczyna się od drobnego tropu - tak było również w przypadku opisywanej kampanii. Po zainfekowaniu urządzenia trojan często wysyła do serwerów cyberprzestępców sygnał nawigacyjny, który zawiera informacje o urządzeniu, ustawieniach sieci, nazwie użytkownika oraz inne istotne dane. Dzięki temu atakujący mogą stwierdzić, czy są zainteresowani zainfekowanym urządzeniem. Milum przesyłał dodatkowo informacje dotyczące języka programowania, w którym został napisany. Dlatego analizując tę kampanię po raz pierwszy w 2020 roku, badacze z firmy Kaspersky podejrzewali, że istnieją różne wersje tego trojana napisane w różnych wersjach językowych. Teraz ta teoria okazała się słuszna.

Wiosną 2021 roku firma Kaspersky zidentyfikowała nowy atak cybergangu WildPressure, przeprowadzony przy użyciu zestawu nowszych wersji szkodliwego oprogramowania Milum. Wykryte pliki zawierały trojana napisanego w języku C++ oraz odpowiadający mu wariant w języku Visual Basic Script (VBScript). Dalsze dochodzenie ujawniło kolejną wersję szkodnika w języku Python, która została przygotowana zarówno dla systemu operacyjnego Windows, jak i macOS. Wszystkie trzy wersje trojana potrafiły pobierać i wykonywać polecenia operatora, gromadzić informacje oraz aktualizować się do nowszej wersji.

Wieloplatformowe szkodliwe oprogramowanie potrafiące infekować urządzenia działające w systemie macOS należy do rzadkości. Po zainfekowaniu urządzenia szkodnik uruchamia kod zależny od systemu operacyjnego w celu przetrwania w atakowanej maszynie oraz gromadzenia danych. Trojan potrafi również sprawdzić, czy na urządzeniu działają rozwiązania bezpieczeństwa.

W kręgu zainteresowania ugrupowania WildPressure pozostaje ten sam obszar geograficzny. Twórcy szkodliwego oprogramowania rozwijają podobne narzędzia w wielu językach prawdopodobnie w celu utrudnienia wykrycia ich. Strategia ta nie jest unikatowa wśród zaawansowanych cybergangów, jednak rzadko obserwujemy szkodliwe oprogramowanie dostosowane do działania w dwóch systemach jednocześnie. Inna ciekawostka to fakt, że jednym z atakowanych systemów operacyjnych jest macOS, co może być zaskakujące, biorąc pod uwagę geograficzny obszar zainteresowania tego ugrupowania - powiedział Denis Legezo, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Szczegóły techniczne dotyczące nowych próbek szkodliwego oprogramowania ugrupowania WildPressure są dostępne na stronie https://r.kaspersky.pl/Xc6ZQ.

Jakiś czas temu Denis Legezo poprowadził warsztat online, w którym zaprezentował, w jaki sposób można przeprowadzić inżynierię wsteczną próbek szkodliwego oprogramowania ugrupowania WildPressure. Zapis warsztatu można obejrzeć na stronie https://r.kaspersky.pl/uWBTx.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające usprawnić zabezpieczenia przed zaawansowanymi cyberatakami:
  • Nie zakładaj, że stosowanie mniej powszechnego systemu operacyjnego będzie tarczą ochronną przed zagrożeniami. Nie będzie. Wykorzystywanie niezawodnego rozwiązania bezpieczeństwa jest niezbędne niezależnie od systemu oraz urządzeń, z których korzystasz.
  • Zadbaj o regularne aktualizowanie wszystkich programów wykorzystywanych w Twojej organizacji, zwłaszcza gdy pojawia się nowa poprawka bezpieczeństwa. W automatyzacji tych procesów pomocne będą produkty bezpieczeństwa z możliwościami oceny luk w zabezpieczeniach oraz zarządzania łatami.
  • Postaw na sprawdzone rozwiązanie bezpieczeństwa, takie jak Kaspersky Endpoint Security, które jest wyposażone w możliwości wykrywania opartego na zachowaniu w celu zapewnienia skutecznej ochrony przed znanymi i nieznanymi zagrożeniami, w tym exploitami.
  • Oprócz stosowania niezbędnej ochrony punktów końcowych wdróż rozwiązanie bezpieczeństwa klasy korporacyjnej, takie jak np. Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.
  • Zadbaj o to, aby Twój personel zapoznał się z podstawową higieną cyberbezpieczeństwa, ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych metod socjotechnicznych. Może w tym pomóc zautomatyzowana platforma szkoleniowa Kaspersky Automated Security Awareness Platform.
  • Dopilnuj, aby zespół ds. bezpieczeństwa miał dostęp do najnowszych danych analitycznych dotyczących cyberzagrożeń.
  • Podnieś umiejętności swojego zespołu SOC w zakresie zwalczania najnowszych zagrożeń ukierunkowanych przy pomocy szkolenia online firmy Kaspersky w zakresie inżynierii wstecznej.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.