WildPressure APT idzie po systemach Windows i macOS z Milum RAT

WildPressure to grupa Advanced Persistent Threat (APT), która została po raz pierwszy przeanalizowana po uwolnieniu Milum RAT w marcu 2020 r. Obecnie grupa powraca z nową kampanią ataków, której celem są zarówno systemy Windows, jak i macOS. Oszuści po raz kolejny używają Milum RAT, ale tym razem dokonali drobnych modyfikacji w projekcie. Jest połączony ze specjalnym zakraplaczem i jest kompatybilny z obydwoma systemami operacyjnymi. Oszuści używają również wcześniej zhakowanych witryn WordPress, aby dostarczyć ładunek do swoich celów. Obecnie cele WildPressure APT wydają się być skoncentrowane na Bliskim Wschodzie.

Branże, na które atakują hakerzy WildPressure APT, są częścią sektora ropy i gazu. Milum RAT, ładunek, którego używają, jest bardzo wyrafinowany. Umożliwia swoim operatorom wykonywanie szerokiego zakresu zadań w systemach, które naruszają. Mogą go używać do kradzieży poufnych informacji, przeprowadzania długoterminowych kampanii rozpoznawczych lub wdrażania dodatkowego złośliwego oprogramowania.

Przestępcy kontrolują WildPressure APT za pośrednictwem zdalnego serwera poleceń. Po udanej infekcji implant gromadzi informacje o oprogramowaniu i sprzęcie o zainfekowanym hoście. Ponadto informuje atakujących o każdym oprogramowaniu anty-malware działającym w tle. Wreszcie, Milum RAT mogło zostać ulepszone dzięki wprowadzeniu struktury modułowej. Oznacza to, że hakerzy WildPressure APT mogą dodawać dodatkowe funkcje za pomocą niestandardowych dodatków (modułów).

Eksperci uważają, że WildPressure APT jest częścią bardziej wyrafinowanego cyberprzestępcy działającego na Bliskim Wschodzie. Jednak nie nawiązano jeszcze żadnych połączeń. Strategie WildPressure APT wydają się ewoluować, więc prawdopodobnie nie jest to ostatni raz, kiedy słyszymy o tym cyberprzestępcy.