WildPressure是一個從2019年8月起就開始在中東地區活躍的高級可持續威脅（APT）行為者。卡巴斯基一直在追蹤該威脅行為者使用的一種被稱為Milum的惡意木馬。

                                 macOS 特定的代碼片段，用于檢查另一個木馬實例是否已在運行

WildPressure是一個從2019年8月起就開始在中東地區活躍的高級可持續威脅（APT）行為者。卡巴斯基一直在追蹤該威脅行為者使用的一種被稱為Milum的惡意木馬。在調查該威脅行為者發起的似乎是針對工業部門的最新攻擊之一時，卡巴斯基研究人員發現了用不同編程語言編寫的該惡意軟件的較新版本。其中一個版本能夠感染并在 Windows 和 macOS 系統上運行。

在威脅狩獵過程中，很多發現都是從一個小線索中展開的，這次的攻擊行動也不例外。通常情況下，一旦一臺設備被木馬感染，惡意軟件會向攻擊者的服務器發送一個信標，其中包含被感染設備的信息、網絡設置、用戶名和其他相關信息。這有助于攻擊者確定受感染的設備是否有意義。然而，在Milum的感染案例中，它還會發送有關編寫它的編程語言的信息。在2020年首次調查該攻擊活動時，卡巴斯基研究人員懷疑，這表明該木馬存在不同語言的不同版本。現在，這一理論已被證實。

2021年春，卡巴斯基發現WildPressure 發起了一次新攻擊，這些攻擊是使用一套較新的Milum惡意軟件版本進行的。發現的文件包含用C++編寫的Milum木馬和相應的Visual Basic Script（VBScript）變種。對這次攻擊的進一步調查發現了另一個用 Python 編寫的惡意軟件版本，它是為 Windows 和 macOS 操作系統開發的。所有三個版本的木馬都能夠從操縱者那里下載和執行命令，收集信息，并將自己升級到更新的版本。

能夠感染運行macOS的設備的多平臺惡意軟件較為罕見。這個特殊的樣本是以一個包的形式交付的，其中包含惡意軟件、Python庫文件以及一個名為“Guard”的腳本。這使得惡意軟件無需額外工作即可在 Windows 和 macOS 上啟動。一旦感染設備，惡意軟件會運行依賴于操作系統的代碼，以實現持久化和數據收集。在 Windows 上，腳本與 PyInstaller 捆綁到可執行文件中。 Python 木馬還能夠檢查設備上是否正在運行安全解決方案

“WildPressure的運營者的興趣仍留在同一地理區域。惡意軟件作者開發了多個版本的類似木馬，并且他們有一個版本控制系統。以多種語言開發類似惡意軟件的原因很可能是為了降低被檢測到的可能性。這種策略在 APT行為者中并不是獨一無二的，但我們很少看到適合同時在兩個系統上運行的惡意軟件，即使是以Python腳本的形式實現的。另一個奇怪的特點是該惡意軟件的一個目標系統是macOS，考慮到威脅行為者的地理利益，這個目標有點令人驚訝，”卡巴斯基全球研究和分析團隊高級安全研究員Denis Legezo評論說。

更多有關新WildPressure樣本的詳情，請訪問Securelist.

為了避免成為針對性攻擊的受害者，卡巴斯基專家建議：

不要認為使用不常見的操作系統就能夠屏蔽威脅，事實上并非如此。使用一款可靠的安全解決方案是必須的，無論您使用的是何種系統或設備。

確保定期更新您的組織中使用的所有軟件，特別是在新的安全補丁發布時。具備漏洞評估和補丁管理功能的安全產品可以幫助實現這些過程的自動化。

選擇一款經過驗證的安全解決方案，如卡巴斯基端點安全，它配備了基于行為的檢測功能，可以有效地防止已知和未知的威脅，包括漏洞。

除了采用基礎的端點保護之外，還要部署能夠在早期階段在網絡層面檢測高級威脅的企業級安全解決方案，例如卡巴斯基反針對性攻擊平臺。

確保您的員工得到基礎的網絡安全衛生知識培訓，因為許多針對性的攻擊是從網絡釣魚或其他社會工程手段開始的。

確保您的安全團隊能夠訪問最新的網絡威脅情報。卡巴斯基APT情報報告服務的客戶可以獲得有關威脅形勢最新發展的私人報告。

通過GReAT專家開發的卡巴斯基逆向工程在線培訓，提高您的安全運營中心（SOC）團隊應對最新針對性威脅的能力。