Зловреден софтуер WailingCrab

Изследователите на Infosec предупреждават, че имейлите с тема за доставка и доставка се използват като средство за разпространение на сложен зареждащ зловреден софтуер, наречен WailingCrab. Този зловреден софтуер се състои от няколко компонента, включително товарач, инжектор, изтеглящ инструмент и задна врата. Често се изисква успешна комуникация със сървъри за командване и управление (C2, C&C) за извличане на следващия етап на злонамерения софтуер.

Актьорите на заплахи активно разработват зловредния софтуер WailingCrab

Изследователите първоначално идентифицираха WailingCrab през август 2023 г., след като разкриха участието му в кампании за нападение срещу италиански организации. Този злонамерен софтуер служи като канал за внедряване на троянския кон Ursnif (известен също като Gozi). Мозъкът зад WailingCrab е заплашителният актьор TA544, също познат като Bamboo Spider и Zeus Panda.

Непрекъснато поддържан от своите оператори, зловредният софтуер показва функции, предназначени за стелт, което му позволява да осуетява по-добре усилията за анализ. За да подобри своя скрит характер, злонамереният софтуер инициира C2 комуникации чрез легитимни, но компрометирани уебсайтове.

Освен това компонентите на злонамерения софтуер се съхраняват на широко използвани платформи като Discord. По-специално, значителна промяна в поведението на злонамерения софтуер от средата на 2023 г. включва приемането на MQTT, олекотен протокол за съобщения, предназначен за малки сензори и мобилни устройства, за C2 комуникация. Този протокол е относително необичаен в пейзажа на заплахите, само с няколко случая на неговото използване, както беше наблюдавано по-рано в случаи като Tizi и MQsTTang.

Веригата от атаки за доставката на зловреден софтуер WailingCrab

Последователността на атаката започва с имейли, съдържащи PDF прикачени файлове, съдържащи URL адреси. Щракването върху тези URL адреси задейства изтеглянето на JavaScript файл, предназначен да извлече и изпълни програмата за зареждане на WailingCrab, хоствана в Discord.

Ролята на товарача е да инициира следващия етап, стартирайки шелкод, който служи като инжекторен модул. Това от своя страна задейства изпълнението на програма за изтегляне, отговорна за внедряването на най-добрата задна врата. В по-ранни итерации този компонент директно ще изтегли задната врата, хоствана като прикачен файл в Discord CDN.

Най-новата версия на WailingCrab криптира задната врата с AES. Вместо да изтегли задната врата, тя достига до своя C2 сървър, за да получи ключ за дешифриране за декриптиране на задната врата. Задната врата, действаща като ядрото на злонамерения софтуер, установява устойчивост на заразения хост и комуникира със сървъра C2 чрез протокола MQTT, за да получи допълнителни полезни натоварвания.

Освен това, най-новите варианти на задната вратичка изоставят базирания на Discord път за изтегляне в полза на базиран на shellcode полезен товар директно от C2 през MQTT. Това преминаване към използване на протокола MQTT от WailingCrab означава умишлен фокус върху подобряването на стелта и избягването на откриване. По-новите версии на WailingCrab също елиминират зависимостта от Discord за извличане на полезен товар, като допълнително увеличават неговите стелт възможности.