البرامج الضارة WailingCrab

يحذر باحثو Infosec من أن رسائل البريد الإلكتروني التي تحتوي على موضوع التسليم والشحن يتم استخدامها كوسيلة لتوزيع أداة تحميل برامج ضارة متطورة تسمى WailingCrab. تشتمل هذه البرامج الضارة على عدة مكونات، بما في ذلك أداة التحميل والحاقن وأداة التنزيل والباب الخلفي. غالبًا ما يكون الاتصال الناجح مع خوادم القيادة والتحكم (C2، C&C) مطلوبًا لجلب المرحلة التالية من البرامج الضارة.

تعمل الجهات الفاعلة في مجال التهديد على تطوير البرنامج الضار WailingCrab

حدد الباحثون في البداية WailingCrab في أغسطس 2023 بعد الكشف عن تورطها في حملات هجومية ضد منظمات إيطالية. كانت هذه البرامج الضارة بمثابة قناة لنشر Ursnif Trojan (المعروف أيضًا باسم Gozi). العقل المدبر وراء WailingCrab هو ممثل التهديد TA544، المعروف أيضًا باسم Bamboo Spider وZeus Panda.

تعرض البرامج الضارة، التي تتم صيانتها بشكل مستمر من قبل مشغليها، ميزات مصممة للتخفي، مما يمكنها من إحباط جهود التحليل بشكل أفضل. لتعزيز طبيعتها السرية، تبدأ البرامج الضارة اتصالات C2 من خلال مواقع الويب المشروعة ولكن المخترقة.

علاوة على ذلك، يتم تخزين مكونات البرامج الضارة على منصات مستخدمة على نطاق واسع مثل Discord. ومن الجدير بالذكر أن التعديل الكبير الذي تم إجراؤه على سلوك البرنامج الضار منذ منتصف عام 2023 يتضمن اعتماد MQTT، وهو بروتوكول مراسلة خفيف الوزن مخصص لأجهزة الاستشعار الصغيرة والأجهزة المحمولة، للاتصال C2. هذا البروتوكول غير شائع نسبيًا في مشهد التهديدات، مع حالات قليلة فقط لاستخدامه، كما لوحظ سابقًا في حالات مثل Tizi وMQsTTang.

سلسلة الهجوم لتوصيل البرامج الضارة WailingCrab

يبدأ تسلسل الهجوم برسائل البريد الإلكتروني التي تحتوي على مرفقات PDF تحتوي على عناوين URL. يؤدي النقر فوق عناوين URL هذه إلى تشغيل تنزيل ملف JavaScript المصمم لجلب وتنفيذ أداة تحميل WailingCrab المستضافة على Discord.

يتمثل دور المُحمل في بدء المرحلة اللاحقة، وإطلاق كود القشرة الذي يعمل كوحدة حاقن. وهذا بدوره يؤدي إلى تنفيذ برنامج التنزيل المسؤول عن نشر الباب الخلفي النهائي. في التكرارات السابقة، كان هذا المكون يقوم بتنزيل الباب الخلفي مباشرة، ويتم استضافته كمرفق على Discord CDN.

يقوم الإصدار الأحدث من WailingCrab بتشفير مكون الباب الخلفي باستخدام AES. وبدلاً من تنزيل الباب الخلفي، فإنه يتواصل مع خادم C2 الخاص به للحصول على مفتاح فك التشفير لفك تشفير الباب الخلفي. يعمل الباب الخلفي بمثابة جوهر البرنامج الضار، ويثبت الثبات على المضيف المصاب ويتواصل مع خادم C2 عبر بروتوكول MQTT لتلقي حمولات إضافية.

علاوة على ذلك، فإن أحدث الإصدارات من الباب الخلفي تتخلى عن مسار التنزيل المعتمد على Discord لصالح حمولة قائمة على كود القشرة مباشرة من C2 عبر MQTT. يشير هذا التحول إلى استخدام بروتوكول MQTT بواسطة WailingCrab إلى التركيز المتعمد على تعزيز التخفي والتهرب من الاكتشاف. تعمل الإصدارات الأحدث من WailingCrab أيضًا على إلغاء الاعتماد على Discord لاسترجاع الحمولة، مما يزيد من قدرات التخفي.