WildPressure APT, Windows 및 macOS를 노리는 새로운 악성코드로 돌아와

 

 

WildPressure APT Emerges With New Malware Targeting Windows and macOS

 

지난 2019년부터 중동의 산업 관련 단체를 노린 악성 캠페인이 Windows와 macOS 모두를 공격하는 업그레이드된 악성 코드 툴셋으로 다시 돌아왔습니다.

 

Kaspersky는 이 공격이 WildPressure APT의 소행이며 피해자는 석유 및 가스 산업으로 추측했습니다.

 

WildPressure는 지난 2020년 3월 처음으로 발견되었으며, 당시 해킹된 장치를 원격으로 제어 할 수 있는 완전한 기능을 갖춘 C++ 트로이목마인 "Milum"을 사용했습니다. 공격은 최소 2019년 8월부터 시작된 것으로 나타났습니다.

 

지난해, Kaspersky 연구원인 Denis Legezo는 이와 관련하여 아래와 같이 밝혔습니다.

 

"운영자는 캠페인 인프라를 위해 임대 OVH 및 Netzbetrieb 가상 사설 서버(VPS)와 Domains by Proxy 익명화 서비스에 등록된 도메인을 사용했습니다.”

 

그 이후, WildPressure 캠페인에 사용 된 새로운 악성코드 샘플이 발견되었습니다. 여기에는 C++ Milum 트로이목마의 최신 버전, 동일한 버전 번호의 해당 VBScript 변종, Windows와 macOS 모두에서 작동하는 파이썬 스크립트인 "Guard"가 포함됩니다.

 

이 파이썬 기반 멀티 OS 트로이목마는 아래와 같이 피해자 컴퓨터의 호스트 이름, 컴퓨터 아키텍처 및 OS 릴리스 이름을 원격 서버에 비콘하고 설치된 안티 바이러스 제품을 확인하도록 설계되었습니다. 또한 이는 임의 파일을 다운로드 및 업로드하고, 명령을 실행하고, 트로이목마를 업데이트하고, 감염된 호스트에서 흔적을 지우도록 지시하는 서버의 명령을 기다립니다.

 

"Tandis"라 명명된 이 VBScript 버전 악성코드는 Guard 및 Milum과 유사한 기능을 제공하는 동시에 C2 통신에 HTTP를 통한 암호화 된 XML을 사용합니다. 이와 별도로 Kaspersky는 키 입력 기록 및 스크린 샷 캡처를 포함하여 감염된 시스템에서 데이터를 수집하는 새로운 C++ 플러그인을 발견했다고 밝혔습니다.

 

현재까지 악성코드 확산 메커니즘에 대해 명확히 밝혀지지 않은 상태이며, 다른 강력한 코드나 피해자와 관련된 유사성은 없습니다. 하지만 연구원들은 이 기능이 BlackShadow라는 다른 공격자가 사용하는 기술에서 약간의 연관성을 발견했다고 밝혔습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/07/wildpressure-apt-emerges-with-new.html

https://securelist.com/wildpressure-targets-macos/103072/