Обнаружена ранее неизвестная вредоносная кампания WildPressure

10:34, 25 марта. Автор:

Антивирусная компания «Лаборатория Касперского» сообщила о обнаружении её экспертами глобального центра исследований и анализа угроз (GReAT) целевой кампании по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Эта кампания, получившая название WildPressure, всё ещё активна. В данный момент большинство её жертв находится на Ближнем Востоке.

Целевые кибератаки (APT) – наиболее сложные и опасные угрозы. Зачастую злоумышленники тайно получают расширенный доступ к системе, чтобы препятствовать её нормальной работе или красть данные. Подобные кампании, как правило, создаются и разворачиваются людьми, имеющими доступ к крупным финансовым и профессиональным ресурсам. Именно поэтому WildPressure быстро привлёк внимание исследователей.

На данный момент эксперты смогли получить несколько почти идентичных образцов троянца Milum, которые не имеют общего кода ни с одной известной ранее APT-кампанией. Все они обладают возможностями для удалённого управления устройствами. В частности, троянец имеет следующие функции:

  • загружать и выполнять команды от своего оператора;
  • собирать различную информацию с атакованной машины и отправлять её на командно-контрольный сервер;
  • обновляться до более новой версии.

Исследователи GReAT стали первыми, кто зафиксировал деятельность троянца Milum. В августе 2019 года эксперты «Лаборатории Касперского» впервые обнаружили это вредоносное ПО. Исследование показало, что первые три образца были созданы ещё в марте 2019 года. Используя имеющуюся телеметрию, эксперты сделали предположение, что большинство целей этой вредоносной кампании находятся на Ближнем Востоке.

Пока многое в отношении WildPressure остаётся неясным, в том числе точный механизм распространения троянца Milum.