WailingCrab Malware

Infosec-forskere advarer om, at e-mails med et leverings- og forsendelsestema bliver brugt som et middel til at distribuere en sofistikeret malware-loader kaldet WailingCrab. Denne malware består af flere komponenter, herunder en loader, injektor, downloader og bagdør. Vellykket kommunikation med Command-and-Control-servere (C2, C&C) er ofte påkrævet for at hente den efterfølgende fase af malwaren.

Trusselskuespillere udvikler aktivt WailingCrab-malwaren

Forskere identificerede oprindeligt WailingCrab i august 2023 efter at have afsløret dens involvering i angrebskampagner mod italienske organisationer. Denne malware tjente som en kanal til implementering af Ursnif Trojan (også kendt som Gozi). Hovedmanden bag WailingCrab er trusselsskuespilleren TA544, også anerkendt som Bamboo Spider og Zeus Panda.

Vedligeholdes løbende af sine operatører, malwaren udviser funktioner designet til stealth, hvilket gør det muligt for den at forpurre analyseindsats bedre. For at forbedre dens skjulte natur initierer malwaren C2-kommunikation gennem legitime, men kompromitterede websteder.

Desuden er komponenter af malwaren gemt på meget brugte platforme som Discord. Navnlig involverer en væsentlig ændring af malwares adfærd siden midten af 2023 vedtagelsen af MQTT, en letvægts meddelelsesprotokol beregnet til små sensorer og mobile enheder, til C2-kommunikation. Denne protokol er relativt usædvanlig i trusselslandskabet, med kun få tilfælde af dens brug, som tidligere observeret i tilfælde som Tizi og MQsTTang.

Angrebskæden til levering af WailingCrab Malware

Angrebssekvensen starter med e-mails, der indeholder PDF-vedhæftede filer, der indeholder URL'er. Ved at klikke på disse URL'er udløser download af en JavaScript-fil designet til at hente og udføre WailingCrab-indlæseren, der er hostet på Discord.

Læsserens rolle er at starte det efterfølgende trin ved at lancere en shellcode, der fungerer som et injektormodul. Dette udløser igen udførelsen af en downloader, der er ansvarlig for at implementere den ultimative bagdør. I tidligere iterationer ville denne komponent direkte downloade bagdøren, hostet som en vedhæftet fil på Discord CDN.

Den seneste version af WailingCrab krypterer bagdørskomponenten med AES. I stedet for at downloade bagdøren, når den ud til sin C2-server for at anskaffe en dekrypteringsnøgle til dekryptering af bagdøren. Bagdøren, der fungerer som malwarens kerne, etablerer persistens på den inficerede vært og kommunikerer med C2-serveren via MQTT-protokollen for at modtage yderligere nyttelast.

Desuden forlader de nyeste varianter af bagdøren den Discord-baserede download-sti til fordel for en shellcode-baseret nyttelast direkte fra C2 gennem MQTT. Dette skift til at bruge MQTT-protokollen fra WailingCrab betyder et bevidst fokus på at forbedre stealth og undgå detektion. De nyere versioner af WailingCrab eliminerer også afhængigheden af Discord til hentning af nyttelast, hvilket yderligere øger dens stealth-kapaciteter.