„WailingCrab“ kenkėjiška programa

„Infosec“ tyrėjai perspėja, kad el. laiškai su pristatymo ir siuntimo tema yra naudojami kaip priemonė platinti sudėtingą kenkėjiškų programų įkroviklį, vadinamą „WailingCrab“. Šią kenkėjišką programą sudaro keli komponentai, įskaitant įkroviklį, purkštuką, atsisiuntimo programą ir užpakalines duris. Sėkmingas ryšys su Command-and-Control (C2, C&C) serveriais dažnai reikalingas norint gauti tolesnį kenkėjiškos programos etapą.

Grėsmės veikėjai aktyviai kuria kenkėjišką programą „WailingCrab“.

Tyrėjai iš pradžių nustatė „WailingCrab“ 2023 m. rugpjūčio mėn., kai išsiaiškino, kad jis dalyvavo atakų kampanijose prieš Italijos organizacijas. Ši kenkėjiška programa buvo kanalas Ursnif Trojos arklys (taip pat žinomas kaip Gozi) diegti. „WailingCrab“ sumanytojas yra grėsmių aktorius TA544, taip pat pripažintas kaip „Bamboo Spider“ ir „Dzeus Panda“.

Kenkėjiška programinė įranga, nuolat prižiūrima jos operatorių, pasižymi slaptumui skirtomis funkcijomis, leidžiančiomis geriau sutrukdyti analizei. Siekdama sustiprinti savo slaptumą, kenkėjiška programa inicijuoja C2 ryšius per teisėtas, bet pažeistas svetaines.

Be to, kenkėjiškų programų komponentai saugomi plačiai naudojamose platformose, tokiose kaip „Discord“. Pažymėtina, kad nuo 2023 m. vidurio padarytas reikšmingas kenkėjiškų programų elgesio pakeitimas apima MQTT, lengvo pranešimų siuntimo protokolo, skirto mažiems jutikliams ir mobiliesiems įrenginiams, pritaikymą C2 ryšiui. Šis protokolas yra gana nedažnas grėsmės aplinkoje, jo naudojimo atvejai yra tik keli, kaip anksčiau buvo pastebėta tokiais atvejais kaip Tizi ir MQsTTang.

„WailingCrab“ kenkėjiškų programų atakų grandinė

Atakos seka pradedama nuo el. laiškų su PDF priedais, kuriuose yra URL. Spustelėjus šiuos URL, atsisiunčiamas „JavaScript“ failas, sukurtas gauti ir vykdyti „WailingCrab“ įkroviklį, priglobtą „Discord“.

Įkroviklio vaidmuo yra pradėti kitą etapą, paleidžiant apvalkalo kodą, kuris tarnauja kaip purkštuko modulis. Tai, savo ruožtu, suaktyvina atsisiuntimo programos, atsakingos už galutinio užpakalinių durų diegimą, vykdymą. Ankstesnėse iteracijose šis komponentas tiesiogiai atsisiųsdavo užpakalines duris, kurios buvo laikomos kaip priedas Discord CDN.

Naujausia WailingCrab versija užšifruoja galinių durų komponentą su AES. Užuot atsisiuntę užpakalines duris, jis susisiekia su savo C2 serveriu, kad gautų iššifravimo raktą užpakalinėms durims iššifruoti. Užpakalinės durys, veikiančios kaip kenkėjiškos programos šerdis, užtikrina užkrėsto pagrindinio kompiuterio patvarumą ir palaiko ryšį su C2 serveriu per MQTT protokolą, kad gautų papildomus naudingus krovinius.

Be to, naujausiuose užpakalinių durų variantuose atsisakoma „Discord“ pagrįsto atsisiuntimo kelio ir pasirenkama apvalkalo kodu pagrįsta naudingoji apkrova tiesiai iš C2 per MQTT. Šis „WailingCrab“ perėjimas prie MQTT protokolo reiškia sąmoningą susitelkimą į slaptumo didinimą ir aptikimo išvengimą. Naujesnės „WailingCrab“ versijos taip pat pašalina priklausomybę nuo „Discord“ naudingos apkrovos nuskaitymui, dar labiau padidindamos jos slaptumo galimybes.