WailingCrab Malware

Az Infosec kutatói arra figyelmeztetnek, hogy a kézbesítési és szállítási témájú e-maileket a WailingCrab nevű kifinomult rosszindulatú programbetöltő terjesztésére használják. Ez a rosszindulatú program több összetevőből áll, beleértve a betöltőt, az injektort, a letöltőt és a hátsó ajtót. A rosszindulatú program következő szakaszának lekéréséhez gyakran szükség van a Command-and-Control (C2, C&C) szerverekkel való sikeres kommunikációra.

A fenyegető szereplők aktívan fejlesztik a WailingCrab malware-t

A kutatók először 2023 augusztusában azonosították a WailingCrabot, miután kiderült, hogy részt vesz az olasz szervezetek elleni támadási kampányokban. Ez a kártevő csatornaként szolgált az Ursnif trójai (más néven Gozi) telepítéséhez. A WailingCrab mögött álló ötlet a TA544 fenyegető színész, akit Bambuszpóknak és Zeusz Pandának is ismernek.

Az üzemeltetők által folyamatosan karbantartott rosszindulatú program rejtett funkciókat tartalmaz, amelyek lehetővé teszik az elemzési erőfeszítések jobb meghiúsítását. A rosszindulatú program titkos jellegének fokozása érdekében C2-kommunikációt kezdeményez legitim, de feltört webhelyeken.

Ezenkívül a rosszindulatú program összetevőit széles körben használt platformokon, például a Discordon tárolják. Nevezetesen, 2023 közepe óta a rosszindulatú program viselkedésének jelentős módosítása az MQTT, egy kisméretű érzékelők és mobileszközök számára készült, könnyű üzenetküldési protokoll elfogadását jelenti a C2 kommunikációhoz. Ez a protokoll viszonylag ritka a fenyegetési környezetben, csak néhány alkalommal használták, amint azt korábban megfigyeltük olyan esetekben, mint a Tizi és az MQsTTang.

A WailingCrab rosszindulatú program támadási lánca

A támadássorozat az URL-eket tartalmazó PDF-mellékleteket tartalmazó e-mailekkel kezdődik. Ha ezekre az URL-címekre kattint, egy JavaScript-fájl letöltését indítja el, amely a Discordon tárolt WailingCrab betöltő lekérésére és végrehajtására szolgál.

A betöltő feladata, hogy elindítsa a következő szakaszt, elindítva egy shellkódot, amely injektor modulként szolgál. Ez viszont a végső hátsó ajtó telepítéséért felelős letöltő végrehajtását indítja el. A korábbi iterációkban ez a komponens közvetlenül letöltötte a hátsó ajtót, amelyet a Discord CDN mellékleteként tároltak.

A WailingCrab legújabb verziója AES-sel titkosítja a hátsó ajtó komponenst. Ahelyett, hogy letöltené a hátsó ajtót, megkeresi a C2 szerverét, hogy megszerezze a visszafejtő kulcsot a hátsó ajtó visszafejtéséhez. A rosszindulatú program magjaként működő hátsó ajtó biztosítja a perzisztenciát a fertőzött gazdagépen, és az MQTT protokollon keresztül kommunikál a C2 szerverrel, hogy további hasznos adatokat fogadjon.

Sőt, a hátsó ajtó legújabb változatai felhagynak a Discord-alapú letöltési útvonallal, és egy shellkód-alapú rakományt használnak közvetlenül a C2-től az MQTT-n keresztül. A WailingCrab által az MQTT protokoll használatára való áttérés azt jelenti, hogy szándékosan összpontosít a lopakodás fokozására és az észlelés elkerülésére. A WailingCrab újabb verziói kiküszöbölik a Discord-ra való támaszkodást a hasznos teher lekéréséhez, tovább növelve a lopakodó képességeit.