वेलिंगक्रैब मैलवेयर
इन्फोसेक शोधकर्ता चेतावनी दे रहे हैं कि डिलीवरी और शिपिंग थीम वाले ईमेल को वेलिंगक्रैब नामक एक परिष्कृत मैलवेयर लोडर को वितरित करने के साधन के रूप में नियोजित किया जा रहा है। इस मैलवेयर में लोडर, इंजेक्टर, डाउनलोडर और बैकडोर सहित कई घटक शामिल हैं। मैलवेयर के अगले चरण को लाने के लिए कमांड-एंड-कंट्रोल (C2, C&C) सर्वर के साथ सफल संचार की अक्सर आवश्यकता होती है।
थ्रेट एक्टर्स सक्रिय रूप से वेलिंगक्रैब मैलवेयर विकसित कर रहे हैं
इतालवी संगठनों के खिलाफ हमले अभियानों में इसकी भागीदारी को उजागर करने के बाद शोधकर्ताओं ने शुरुआत में अगस्त 2023 में वेलिंगक्रैब की पहचान की। यह मैलवेयर उर्स्निफ़ ट्रोजन (जिसे गोज़ी के नाम से भी जाना जाता है) को तैनात करने के लिए एक माध्यम के रूप में कार्य करता है। वेलिंगक्रैब के पीछे का मास्टरमाइंड खतरनाक अभिनेता TA544 है, जिसे बैंबू स्पाइडर और ज़ीउस पांडा के नाम से भी जाना जाता है।
अपने ऑपरेटरों द्वारा लगातार बनाए रखा गया, मैलवेयर चुपके के लिए डिज़ाइन की गई सुविधाओं को प्रदर्शित करता है, जो इसे विश्लेषण प्रयासों को बेहतर ढंग से विफल करने में सक्षम बनाता है। अपनी गुप्त प्रकृति को बढ़ाने के लिए, मैलवेयर वैध लेकिन समझौता की गई वेबसाइटों के माध्यम से C2 संचार शुरू करता है।
इसके अलावा, मैलवेयर के घटकों को डिस्कॉर्ड जैसे व्यापक रूप से उपयोग किए जाने वाले प्लेटफ़ॉर्म पर संग्रहीत किया जाता है। विशेष रूप से, 2023 के मध्य से मैलवेयर के व्यवहार में एक महत्वपूर्ण संशोधन में C2 संचार के लिए MQTT को अपनाना शामिल है, जो छोटे सेंसर और मोबाइल उपकरणों के लिए एक हल्का मैसेजिंग प्रोटोकॉल है। यह प्रोटोकॉल खतरे के परिदृश्य में अपेक्षाकृत असामान्य है, इसके उपयोग के केवल कुछ उदाहरण हैं, जैसा कि पहले टिज़ी और एमक्यूएसटीटैंग जैसे मामलों में देखा गया था।
वेलिंगक्रैब मैलवेयर की डिलीवरी के लिए आक्रमण श्रृंखला
हमले का क्रम यूआरएल वाले पीडीएफ अनुलग्नकों वाले ईमेल से शुरू होता है। इन यूआरएल पर क्लिक करने से डिस्कॉर्ड पर होस्ट किए गए वेलिंगक्रैब लोडर को लाने और निष्पादित करने के लिए डिज़ाइन की गई जावास्क्रिप्ट फ़ाइल का डाउनलोड ट्रिगर हो जाता है।
लोडर की भूमिका अगले चरण को शुरू करने की है, एक शेलकोड लॉन्च करना जो इंजेक्टर मॉड्यूल के रूप में कार्य करता है। यह, बदले में, अंतिम पिछले दरवाजे को तैनात करने के लिए जिम्मेदार डाउनलोडर के निष्पादन को ट्रिगर करता है। पहले के पुनरावृत्तियों में, यह घटक सीधे पिछले दरवाजे से डाउनलोड होगा, जिसे डिस्कॉर्ड सीडीएन पर अनुलग्नक के रूप में होस्ट किया जाएगा।
WailingCrab का नवीनतम संस्करण AES के साथ पिछले दरवाजे के घटक को एन्क्रिप्ट करता है। बैकडोर डाउनलोड करने के बजाय, यह बैकडोर को डिक्रिप्ट करने के लिए डिक्रिप्शन कुंजी प्राप्त करने के लिए अपने C2 सर्वर तक पहुंचता है। पिछला दरवाजा, मैलवेयर के मूल के रूप में कार्य करते हुए, संक्रमित होस्ट पर दृढ़ता स्थापित करता है और अतिरिक्त पेलोड प्राप्त करने के लिए MQTT प्रोटोकॉल के माध्यम से C2 सर्वर के साथ संचार करता है।
इसके अलावा, पिछले दरवाजे के नवीनतम संस्करण सी2 से एमक्यूटीटी के माध्यम से सीधे शेलकोड-आधारित पेलोड के पक्ष में डिस्कोर्ड-आधारित डाउनलोड पथ को छोड़ देते हैं। वेलिंगक्रैब द्वारा एमक्यूटीटी प्रोटोकॉल का उपयोग करने का यह बदलाव चुपके को बढ़ाने और पहचान से बचने पर जानबूझकर ध्यान केंद्रित करने का प्रतीक है। वेलिंगक्रैब के नए संस्करण पेलोड पुनर्प्राप्ति के लिए डिस्कॉर्ड पर निर्भरता को भी खत्म करते हैं, जिससे इसकी गुप्त क्षमताओं में और वृद्धि होती है।
