APT ”Wild Pressure” apunta a las industrias en Oriente Medio

WildPressure fue descubierto por primera vez en agosto del año pasado, cuando investigadores de seguridad detectaron un malware no visto anteriormente. Al parecer su blanco son las industrias del medio oriente. En agosto de 2019, Kaspersky descubrió una campaña maliciosa que distribuía un troyano C ++ completo denominado ”Milum”. Todas las víctimas que registraron fueron […]

WildPressure fue descubierto por primera vez en agosto del año pasado, cuando investigadores de seguridad detectaron un malware no visto anteriormente. Al parecer su blanco son las industrias del medio oriente.

En agosto de 2019, Kaspersky descubrió una campaña maliciosa que distribuía un troyano C ++ completo denominado ”Milum”. Todas las víctimas que registraron fueron organizaciones de Medio Oriente.

Según afirman desde la compañía de seguridad, gran parte de los blancos son del sector industrial. “Nuestro motor de atribución de amenazas de Kaspersky (KTAE) no muestra similitudes de código con campañas conocidas. Tampoco hemos visto ninguna intersección objetivo. De hecho, encontramos solo tres muestras casi únicas, todas en un solo país. Por lo tanto, consideramos que los ataques están dirigidos y actualmente llamamos a esta operación WildPressure”.

WildPressure es un grupo APT, que fue detectado mientras entregaba una nueva pieza de puerta trasera C ++ llamada Milum. El nombre proviene de la palabra “milum” utilizada en los nombres de clase C ++ dentro del malware. La puerta trasera implementa una amplia gama de características para la administración remota de dispositivos del host comprometido.

Este Troyano tiene las siguientes funcionalidades:

• Una vez descargado en el sistema de la víctima, el malware puede administrarse remotamente.
• Una vez dentro, puede ejecutar una serie de acciones como: Autoactualizarse a nuevas versiones, recolectar información y enviar al servidor C&C, ejecutar comandos, autoeliminarse.

Una investigación adicional condujo al descubrimiento de otras muestras del mismo malware que infectó sistemas hasta el 31 de mayo de 2019.

Milum se compiló dos meses antes, en marzo de 2019, los actores de amenazas emplearon servidores privados virtuales (VPS) OVH y Netzbetrieb arrendados y usaron dominios registrados en los Dominios por el servicio de anonimización Proxy.

El análisis del código de Milum reveló que no tiene similitudes con el malware involucrado en otras operaciones atribuidas a grupos APT conocidos.

En septiembre de 2019, los investigadores de Kaspersky pudieron hundir uno de los dominios C2 utilizados por el grupo APT (upiserversys1212 [.] Com). La gran mayoría de las IP de los visitantes también eran del Medio Oriente, específicamente de Irán, mientras que el resto eran escáneres de red, nodos de salida TOR o conexiones VPN.

Hasta la fecha, todavía no está claro la forma en que el actor de la amenaza propagó el troyano Milum y aún es imposible atribuir el ataque a ese grupo en específico.