Κακόβουλο λογισμικό WailingCrab
Οι ερευνητές της Infosec προειδοποιούν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα παράδοσης και αποστολής χρησιμοποιούνται ως μέσο για τη διανομή ενός εξελιγμένου προγράμματος φόρτωσης κακόβουλου λογισμικού που ονομάζεται WailingCrab. Αυτό το κακόβουλο λογισμικό περιλαμβάνει πολλά στοιχεία, συμπεριλαμβανομένου ενός loader, ενός injector, του downloader και ενός backdoor. Συχνά απαιτείται επιτυχής επικοινωνία με διακομιστές Command-and-Control (C2, C&C) για την ανάκτηση του επόμενου σταδίου του κακόβουλου λογισμικού.
Οι ηθοποιοί απειλών αναπτύσσουν ενεργά το κακόβουλο λογισμικό WailingCrab
Οι ερευνητές αναγνώρισαν αρχικά το WailingCrab τον Αύγουστο του 2023 αφού αποκάλυψαν τη συμμετοχή του σε εκστρατείες επίθεσης εναντίον ιταλικών οργανώσεων. Αυτό το κακόβουλο λογισμικό χρησίμευσε ως αγωγός για την ανάπτυξη του Trojan Ursnif (γνωστό και ως Gozi). Ο εγκέφαλος πίσω από το WailingCrab είναι ο ηθοποιός απειλών TA544, που αναγνωρίζεται επίσης ως Bamboo Spider και Zeus Panda.
Συντηρούμενο συνεχώς από τους χειριστές του, το κακόβουλο λογισμικό εμφανίζει χαρακτηριστικά σχεδιασμένα για μυστικότητα, επιτρέποντάς του να εμποδίζει καλύτερα τις προσπάθειες ανάλυσης. Για να ενισχύσει τη συγκαλυμμένη φύση του, το κακόβουλο λογισμικό εκκινεί επικοινωνίες C2 μέσω νόμιμων αλλά παραβιασμένων ιστότοπων.
Επιπλέον, τα στοιχεία του κακόβουλου λογισμικού αποθηκεύονται σε ευρέως χρησιμοποιούμενες πλατφόρμες όπως το Discord. Συγκεκριμένα, μια σημαντική τροποποίηση στη συμπεριφορά του κακόβουλου λογισμικού από τα μέσα του 2023 περιλαμβάνει την υιοθέτηση του MQTT, ενός ελαφρού πρωτοκόλλου ανταλλαγής μηνυμάτων που προορίζεται για μικρούς αισθητήρες και κινητές συσκευές, για επικοινωνία C2. Αυτό το πρωτόκολλο είναι σχετικά ασυνήθιστο στο τοπίο απειλών, με λίγες μόνο περιπτώσεις χρήσης του, όπως παρατηρήθηκε προηγουμένως σε περιπτώσεις όπως το Tizi και το MQsTTang.
Η αλυσίδα επίθεσης για την παράδοση του κακόβουλου λογισμικού WailingCrab
Η ακολουθία επίθεσης ξεκινά με email που περιέχουν συνημμένα PDF που περιέχουν διευθύνσεις URL. Κάνοντας κλικ σε αυτές τις διευθύνσεις URL ενεργοποιείται η λήψη ενός αρχείου JavaScript που έχει σχεδιαστεί για λήψη και εκτέλεση του προγράμματος φόρτωσης WailingCrab που φιλοξενείται στο Discord.
Ο ρόλος του φορτωτή είναι να ξεκινήσει το επόμενο στάδιο, εκκινώντας έναν κώδικα κελύφους που χρησιμεύει ως μονάδα έγχυσης. Αυτό, με τη σειρά του, ενεργοποιεί την εκτέλεση ενός προγράμματος λήψης που είναι υπεύθυνος για την ανάπτυξη της απόλυτης κερκόπορτας. Σε προηγούμενες επαναλήψεις, αυτό το στοιχείο θα κατέβαζε απευθείας το backdoor, που φιλοξενείται ως συνημμένο στο Discord CDN.
Η πιο πρόσφατη έκδοση του WailingCrab κρυπτογραφεί το στοιχείο backdoor με AES. Αντί να κατεβάσει την κερκόπορτα, προσεγγίζει τον διακομιστή C2 για να αποκτήσει ένα κλειδί αποκρυπτογράφησης για την αποκρυπτογράφηση της κερκόπορτας. Η κερκόπορτα, που λειτουργεί ως ο πυρήνας του κακόβουλου λογισμικού, εδραιώνει την επιμονή στον μολυσμένο κεντρικό υπολογιστή και επικοινωνεί με τον διακομιστή C2 μέσω του πρωτοκόλλου MQTT για τη λήψη πρόσθετων ωφέλιμων φορτίων.
Επιπλέον, οι πιο πρόσφατες παραλλαγές της κερκόπορτας εγκαταλείπουν τη διαδρομή λήψης που βασίζεται στο Discord προς όφελος ενός ωφέλιμου φορτίου που βασίζεται σε κώδικα κελύφους απευθείας από το C2 έως το MQTT. Αυτή η στροφή στη χρήση του πρωτοκόλλου MQTT από το WailingCrab σηματοδοτεί μια σκόπιμη εστίαση στη βελτίωση της μυστικότητας και στην αποφυγή ανίχνευσης. Οι νεότερες εκδόσεις του WailingCrab εξαλείφουν επίσης την εξάρτηση από το Discord για την ανάκτηση ωφέλιμου φορτίου, αυξάνοντας περαιτέρω τις δυνατότητές του stealth.
