La détection des menaces repose fréquemment sur de petits indices, et cette campagne ne fait pas exception. Souvent, lorsqu’il s’exécute, un cheval de Troie envoie aux serveurs des attaquants une balise qui contient les paramètres du réseau, le nom de l’utilisateur et d’autres informations associées à l’appareil infecté, afin d’en déterminer plus facilement l’intérêt. Cependant, dans le cas de Milum, le malware envoie également des informations sur le langage de programmation dans lequel il est écrit. Quand les chercheurs de Kaspersky ont commencé leurs investigations sur la campagne de 2020, ils ont décelé un indice de l’existence de plusieurs versions de ce cheval de Troie dans différents langages. Cette théorie a été confirmée.

Au printemps 2021, Kaspersky a identifié une nouvelle attaque de WildPressure, impliquant un ensemble de nouvelles versions de Milum. Les fichiers détectés contenaient ce cheval de Troie en C++ et un variant en Visual Basic Script (VBScript). Une investigation plus poussée sur cette attaque a permis de découvrir une autre version écrite en Python, développée pour pirater à la fois les systèmes d’exploitation Windows et macOS. Les trois versions du cheval de Troie étaient capables de télécharger et d’exécuter des commandes de l’opérateur, de collecter des informations et de se mettre à jour elles-mêmes.

Il est rare que des malwares multiplateformes soient capables d’infecter des appareils fonctionnant sous macOS. Cette forme particulière était intégrée à un package comprenant le malware, une bibliothèque Python et un script nommé « Guard ». Ainsi, le malware pouvait se lancer aussi bien sur Windows que sur macOS sans grande difficulté. Une fois l’appareil infecté, le malware exécute un code dépendant du système d’exploitation, qui assure son fonctionnement et la collecte de données. Sous Windows, le script est compilé dans un exécutable avec PyInstaller. Le cheval de Troie basé sur Python est également capable de vérifier si des solutions de sécurité sont en cours d’exécution sur un appareil.
« Les opérateurs de WildPressure continuent de s’intéresser à la même zone géographique. Les créateurs de ce cheval de Troie en ont développé plusieurs variants similaires et ont mis en place un système de gestion de leurs versions.

Le développement de malwares semblables dans plusieurs langages vise sans doute à réduire la probabilité de détection. Cette stratégie n’est pas unique parmi les groupes APT, mais nous voyons rarement des malwares adaptés pour s’exécuter sur deux systèmes à la fois, même sous la forme d’un script Python. Autre curiosité, l’un des systèmes d’exploitation visés est macOS, qui constitue une cible surprenante compte tenu de l’intérêt géographique de ce groupe cybercriminel », souligne Denis Legezo, senior security researcher au sein du GReAT, Kaspersky.

Afin d’éviter d’être victime d’une attaque ciblée, les experts de Kaspersky recommandent de :

• Ne pas considérer qu’un système d’exploitation moins courant offre une protection contre les menaces, car ce n’est pas le cas. L’adoption d’une solution de sécurité fiable est impérative, quels que soient le système et les appareils que vous utilisez.

• Veiller à mettre régulièrement à jour tous les logiciels utilisés dans votre entreprise, en particulier lorsqu’un nouveau correctif de sécurité est disponible. Les solutions de sécurité dotées de fonctions d’évaluation des vulnérabilités et de gestion des correctifs peuvent favoriser l’automatisation de ces processus.

• Choisir une solution de sécurité éprouvée comme Kaspersky Endpoint Security, équipée de capacités de détection basées sur le comportement pour une protection efficace contre les menaces connues et inconnues, y compris les exploits.

• Outre l’adoption d’une protection essentielle des terminaux, mettre en place une solution de sécurité de niveau entreprise qui anticipe les menaces avancées à l’échelle du réseau, comme la plateforme Kaspersky Anti Targeted Attack.

• Veiller à ce que son personnel reçoive une formation de base sur la vigilance en matière de cybersécurité, car de nombreuses attaques ciblées font appel au phishing ou à d’autres techniques d’ingénierie sociale.

• S’assurer que son équipe de sécurité ait accès aux dernières données sur les cybermenaces. Des rapports privés sur les derniers développements relatifs aux menaces sont disponibles pour les clients via Kaspersky APT Intelligence Reporting.

• Dispenser à son équipe la formation en ligne Kaspersky sur la rétro-ingénierie, développée par les experts du GReAT pour l’aider à mettre ses compétences à niveau.