WailingCrab haittaohjelma

Infosecin tutkijat varoittavat, että toimitus- ja toimitusteemoja sisältäviä sähköposteja käytetään keinona levittää kehittynyttä haittaohjelmien latausohjelmaa nimeltä WailingCrab. Tämä haittaohjelma sisältää useita osia, mukaan lukien latausohjelman, injektorin, latausohjelman ja takaoven. Onnistunut viestintä Command-and-Control (C2, C&C) -palvelimien kanssa edellyttää usein haittaohjelman seuraavan vaiheen hakemista.

Uhkatoimijat kehittävät aktiivisesti WailingCrab-haittaohjelmaa

Tutkijat tunnistivat WailingCrabin alun perin Elokuussa 2023 saatuaan selville sen osallisuuden italialaisia organisaatioita vastaan suunnattuihin hyökkäyskampanjoihin. Tämä haittaohjelma toimi kanavana Ursnif- troijalaisen (tunnetaan myös nimellä Gozi) käyttöönotto. WailingCrabin päähahmo on uhkanäyttelijä TA544, joka tunnetaan myös nimellä Bamboo Spider ja Zeus Panda.

Operaattoreidensa jatkuvasti ylläpitämässä haittaohjelmassa on salaamiseen suunniteltuja ominaisuuksia, joiden avulla se voi estää analysointityötä paremmin. Vahvistaakseen salaista luonnettaan haittaohjelma aloittaa C2-viestinnän laillisten mutta vaarantuneiden verkkosivustojen kautta.

Lisäksi haittaohjelmien komponentit on tallennettu laajalti käytetyille alustoille, kuten Discord. Merkittävä muutos haittaohjelmien käyttäytymiseen vuoden 2023 puolivälistä lähtien sisältää erityisesti pienille antureille ja mobiililaitteille tarkoitetun kevyen viestinvälitysprotokollan MQTT:n käyttöönoton C2-viestintään. Tämä protokolla on suhteellisen harvinainen uhkaympäristössä, ja sitä on käytetty vain muutamassa tapauksessa, kuten aiemmin havaittiin tapauksissa, kuten Tizi ja MQsTTang.

Hyökkäysketju WailingCrab-haittaohjelman toimittamiseen

Hyökkäysjakso alkaa sähköpostiviesteistä, jotka sisältävät URL-osoitteita sisältäviä PDF-liitteitä. Näiden URL-osoitteiden napsauttaminen käynnistää JavaScript-tiedoston latauksen, joka on suunniteltu noutamaan ja suorittamaan Discordissa isännöity WailingCrab-latausohjelma.

Lataajan tehtävänä on käynnistää seuraava vaihe ja käynnistää komentotulkkikoodi, joka toimii injektorimoduulina. Tämä puolestaan laukaisee latausohjelman suorittamisen, joka on vastuussa äärimmäisen takaoven käyttöönotosta. Aiemmissa iteraatioissa tämä komponentti lataa suoraan takaoven, jota ylläpidettiin liitteenä Discord CDN:ssä.

WailingCrabin uusin versio salaa takaovikomponentin AES:llä. Takaoven lataamisen sijaan se ottaa yhteyttä C2-palvelimeensa saadakseen salauksen purkuavaimen takaoven salauksen purkamiseen. Haittaohjelman ytimenä toimiva takaovi varmistaa tartunnan saaneen isännän pysyvyyden ja kommunikoi C2-palvelimen kanssa MQTT-protokollan kautta lisähyötykuormien vastaanottamiseksi.

Lisäksi takaoven uusimmat versiot hylkäävät Discord-pohjaisen latauspolun ja siirtävät shellkoodipohjaisen hyötykuorman suoraan C2:sta MQTT:n kautta. Tämä WailingCrabin siirtyminen MQTT-protokollan käyttöön merkitsee tarkoituksellista keskittymistä varkain parantamiseen ja havaitsemisen välttämiseen. WailingCrabin uudemmat versiot eliminoivat myös Discordin käytön hyötykuorman haussa, mikä lisää entisestään sen salailukykyä.