WailingCrab ļaunprātīga programmatūra

Infosec pētnieki brīdina, ka e-pasta ziņojumi ar piegādes un nosūtīšanas tēmu tiek izmantoti kā līdzeklis, lai izplatītu sarežģītu ļaunprātīgas programmatūras ielādētāju ar nosaukumu WailingCrab. Šī ļaunprogrammatūra ietver vairākus komponentus, tostarp ielādētāju, inžektoru, lejupielādētāju un aizmugures durvis. Veiksmīga saziņa ar Command-and-Control (C2, C&C) serveriem bieži ir nepieciešama, lai iegūtu nākamo ļaunprātīgas programmatūras posmu.

Draudu dalībnieki aktīvi izstrādā ļaunprogrammatūru WailingCrab

Pētnieki sākotnēji identificēja WailingCrab 2023. gada augustā pēc tam, kad atklāja tā līdzdalību uzbrukuma kampaņās pret Itālijas organizācijām. Šī ļaunprogrammatūra kalpoja par kanālu Ursnif Trojas zirga (pazīstams arī kā Gozi) izvietošanai. WailingCrab vadītājs ir draudu aktieris TA544, kas tiek atzīts arī par Bambusa zirnekli un Zeus Pandu.

Ļaunprātīgajai programmatūrai, ko pastāvīgi uztur tās operatori, ir funkcijas, kas paredzētas slēpšanai, ļaujot tai labāk kavēt analīzes centienus. Lai uzlabotu savu slēpto raksturu, ļaunprogrammatūra uzsāk C2 saziņu, izmantojot likumīgas, bet apdraudētas vietnes.

Turklāt ļaunprātīgas programmatūras komponenti tiek glabāti plaši izmantotās platformās, piemēram, Discord. Konkrēti, kopš 2023. gada vidus ir veiktas būtiskas izmaiņas ļaunprātīgas programmatūras darbībā, kas ietver MQTT — viegla ziņojumapmaiņas protokola, kas paredzēts maziem sensoriem un mobilajām ierīcēm, pieņemšanu C2 saziņai. Šis protokols draudu vidē ir salīdzinoši rets, un tas tiek izmantots tikai dažos gadījumos, kā iepriekš tika novērots tādos gadījumos kā Tizi un MQsTTang.

Uzbrukuma ķēde ļaunprogrammatūras WailingCrab piegādei

Uzbrukuma secība sākas ar e-pasta ziņojumiem, kuros ir PDF pielikumi ar vietrāžiem URL. Noklikšķinot uz šiem URL, tiek aktivizēts JavaScript faila lejupielāde, kas paredzēts, lai ielādētu un izpildītu vietnē Discord mitināto WailingCrab ielādētāju.

Iekrāvēja uzdevums ir uzsākt nākamo posmu, palaižot čaulas kodu, kas kalpo kā inžektora modulis. Tas, savukārt, aktivizē lejupielādētāja izpildi, kas ir atbildīgs par galīgo aizmugures durvju izvietošanu. Iepriekšējās iterācijās šis komponents tieši lejupielādēja aizmugures durvis, kas tika mitinātas kā Discord CDN pielikums.

Jaunākā WailingCrab versija šifrē backdoor komponentu ar AES. Tā vietā, lai lejupielādētu aizmugures durvis, tā sazinās ar savu C2 serveri, lai iegūtu atšifrēšanas atslēgu aizmugures durvju atšifrēšanai. Aizmugurējās durvis, kas darbojas kā ļaunprātīgas programmatūras kodols, nodrošina noturību inficētajā resursdatorā un sazinās ar C2 serveri, izmantojot MQTT protokolu, lai saņemtu papildu kravas.

Turklāt jaunākie aizmugures durvju varianti atsakās no Discord balstītas lejupielādes ceļa par labu čaulas kodam balstītai slodzei tieši no C2, izmantojot MQTT. Šī WailingCrab pāreja uz MQTT protokola izmantošanu nozīmē apzinātu koncentrēšanos uz slepenības uzlabošanu un izvairīšanos no atklāšanas. Jaunākās WailingCrab versijas arī novērš paļaušanos uz Discord lietderīgās kravas izgūšanā, vēl vairāk palielinot tā slepenās iespējas.