恶意软件“WildPressure”利用未知木马攻击中东的一些机构

网络攻击（某些是针对工业目标的攻击）使用了以前未知的木马，称为Milum。

一项针对中东组织的恶意软件的活动日前已经被发现，该活动与以前的攻击活动没有任何相似之处。该活动以代码内的C++类名“WildPressure”为自己命名，使用了以前未知的恶意软件，研究人员将其命名为Milum。

卡巴斯基的研究员在9月份的时候破坏了WildPressure命令与控制（C2）域中的一个，他们表示，访问恶意基础框架的IP中，大部分是来自中东的，而其余的IP则包括扫描仪、TOR出口节点、VPN链接。卡巴斯基发现，受害者也包括一些工业目标。

这项研究表明，这个恶意软件会执行基本的系统侦察工作，包括清点存放在受感染机器上的文件类型。而且，它还可以从其C2获取更新，这更新中也有可能包括一些第二阶段的功能。

简单直接

卡巴斯基安全研究员丹尼斯·莱格佐（Denis Legezo）在星期二的一篇文章中写道，构建该木马的方法非常简单，举个例子，所有的Milum示例都是独立的可执行文件。

此外，代码的内置配置数据包括硬编码的C2 URL和用于通信的加密/解密密钥。安装后，该恶意软件会创建一个名为“\ ProgramData \ Micapp \ Windows \”的目录，并解析此配置数据，以形成发送到其C2的信标。

为了发送信标，Milum使用配置数据中存储的64字节密钥在HTTP POST请求中传输压缩的JSON数据，该数据使用RC4加密。而压缩方面，该木马使用的是嵌入式gzip代码（gzip是一种流行的数据压缩技术）。

卡巴斯基的研究人员发现，传播最广泛的是作为不可见工具栏窗口存在的应用程序，这意味着受害者是检测不到它的。

困难归因

至于功能方面，Milum代码中的命令处理程序包括：用于连接到C2的指令；记录文件属性（包括目录中的属性，标记为隐藏、只读、归档、系统、可执行文件）；收集系统的信息以验证目标并确定防病毒产品状态；更新恶意软件；删除自己。

为了集中精力，操作员使用了样本中也已硬编码的目标ID。

Legezo说：“在这之中，我们发现了HatLandM30和HatLandid3，这两者我们都不熟悉。”

然而，卡巴斯基方面表示，攻击活动的剩余部分都没有任何线索，使归因变得很困难。在活动基础架构方面，运营商使用了从ISP OVH和Netzbetrieb租用的虚拟专用服务器（VPS），以及使用通过代理匿名服务在Domains中注册的域名。

Legezo还表示，恶意软件作者使用的C ++代码方式（存储在二进制文件的资源部分中的base64编码JSON格式的配置数据）相当通用。

Legezo解释说：

迄今为止，我们还没有观察到与任何已知的actor或活动有关的基于代码或受害者的强烈相似之处。任何相似之处在归因方面都应被视为薄弱环节，并且可以简单地从以前的著名案例中复制出来。的确，近年来，这种“向更有经验的攻击者学习”的循环已被一些有趣的新actor采用。

值得一看

研究人员发现了三个此前未被发现的循环传播的木马样本。所有这些都是在去年3月份的时候首次编译的，而感染是在去年5月底时开始的，也就是说这木马感染活动是全年都在持续的。

该时间表与其他方面相结合，使得Legezo怀疑该恶意软件还处于开发的早期阶段，他预计恶意软件还会有后续其他的活动。

首先，样本上有一个“1.0.1”的版本标记。并且，在用于与命令和控制（C2）服务器进行通信的HTTP POST请求中，有一些字段可以选择使用不同的编程语言，这就表示他们或许有计划启用非C++版本的代码（如果现存代码中还没有的话）。

Legezo说：

我们考虑保留这些文件的唯一原因是，如果攻击者拥有数种以不同语言编写的木马，就可以与同一个控制服务器一起工作。

Legezo补充说明，Milum值得观察，特别是考虑到它对中东工业目标的袭击。但是，其个性的缺乏，可能使其在将来的战役中成为变色龙。他总结表示，该恶意软件并非专门针对任何类型的受害者而设计的，可以在其他操作中重复使用。