Perisian Hasad WailingCrab

Penyelidik Infosec memberi amaran bahawa e-mel dengan tema penghantaran dan penghantaran digunakan sebagai cara untuk mengedarkan pemuat perisian hasad canggih yang dipanggil WailingCrab. Malware ini terdiri daripada beberapa komponen, termasuk pemuat, penyuntik, pemuat turun dan pintu belakang. Komunikasi yang berjaya dengan pelayan Command-and-Control (C2, C&C) selalunya diperlukan untuk mendapatkan peringkat perisian hasad yang berikutnya.

Aktor Ancaman Sedang Membangunkan Perisian Hasad WailingCrab

Penyelidik pada mulanya mengenal pasti WailingCrab Pada Ogos 2023 selepas mendedahkan penglibatannya dalam kempen serangan terhadap organisasi Itali. Malware ini berfungsi sebagai saluran untuk menggunakan Ursnif Trojan (juga dikenali sebagai Gozi). Dalang di sebalik WailingCrab ialah pelakon ancaman TA544, juga dikenali sebagai Bamboo Spider dan Zeus Panda.

Diselenggara secara berterusan oleh pengendalinya, perisian hasad mempamerkan ciri yang direka bentuk untuk bersembunyi, membolehkannya menggagalkan usaha analisis dengan lebih baik. Untuk meningkatkan sifat rahsianya, perisian hasad memulakan komunikasi C2 melalui tapak web yang sah tetapi terjejas.

Tambahan pula, komponen perisian hasad disimpan pada platform yang digunakan secara meluas seperti Discord. Terutama sekali, pengubahsuaian ketara kepada tingkah laku perisian hasad sejak pertengahan 2023 melibatkan penggunaan MQTT, protokol pemesejan ringan yang bertujuan untuk penderia kecil dan peranti mudah alih, untuk komunikasi C2. Protokol ini agak jarang berlaku dalam landskap ancaman, dengan hanya beberapa contoh penggunaannya, seperti yang diperhatikan sebelum ini dalam kes seperti Tizi dan MQsTTang.

Rantaian Serangan untuk Penghantaran Perisian Hasad WailingCrab

Urutan serangan dimulakan dengan e-mel yang mengandungi lampiran PDF yang melindungi URL. Mengklik URL ini mencetuskan muat turun fail JavaScript yang direka untuk mengambil dan melaksanakan pemuat WailingCrab yang dihoskan pada Discord.

Peranan pemuat adalah untuk memulakan peringkat seterusnya, melancarkan kod shell yang berfungsi sebagai modul penyuntik. Ini, seterusnya, mencetuskan pelaksanaan pemuat turun yang bertanggungjawab untuk menggunakan pintu belakang muktamad. Dalam lelaran awal, komponen ini akan memuat turun terus pintu belakang, dihoskan sebagai lampiran pada CDN Discord.

Versi terbaru WailingCrab menyulitkan komponen pintu belakang dengan AES. Daripada memuat turun pintu belakang, ia menghubungi pelayan C2nya untuk mendapatkan kunci penyahsulitan untuk menyahsulit pintu belakang. Pintu belakang, bertindak sebagai teras perisian hasad, mewujudkan kegigihan pada hos yang dijangkiti dan berkomunikasi dengan pelayan C2 melalui protokol MQTT untuk menerima muatan tambahan.

Selain itu, varian terbaharu pintu belakang meninggalkan laluan muat turun berasaskan Discord dan memihak kepada muatan berasaskan shellcode terus daripada C2 melalui MQTT. Peralihan kepada menggunakan protokol MQTT oleh WailingCrab ini menandakan tumpuan yang disengajakan untuk meningkatkan senyap dan mengelak pengesanan. Versi WailingCrab yang lebih baharu juga menghapuskan pergantungan pada Discord untuk mendapatkan semula muatan, seterusnya menambah keupayaan tersembunyinya.