WailingCrab मालवेयर
इन्फोसेक अनुसन्धानकर्ताहरूले चेतावनी दिइरहेका छन् कि वितरण र ढुवानी विषयवस्तु भएका इमेलहरू WailingCrab भनिने परिष्कृत मालवेयर लोडर वितरण गर्ने माध्यमको रूपमा प्रयोग भइरहेको छ। यो मालवेयरले लोडर, इन्जेक्टर, डाउनलोडर र ब्याकडोर सहित धेरै कम्पोनेन्टहरू समावेश गर्दछ। कमाण्ड-एण्ड-कन्ट्रोल (C2, C&C) सर्भरहरूसँग सफल सञ्चारलाई मालवेयरको पछिल्लो चरण ल्याउनको लागि बारम्बार आवश्यक हुन्छ।
थ्रेट अभिनेताहरू सक्रिय रूपमा WailingCrab मालवेयर विकास गर्दैछन्
अन्वेषकहरूले प्रारम्भिक रूपमा इटालियन संगठनहरू विरुद्ध आक्रमण अभियानहरूमा यसको संलग्नता उजागर गरेपछि अगस्त 2023 मा WailingCrab पहिचान गरे। यो मालवेयरले Ursnif Trojan (Gozi को रूपमा पनि चिनिन्छ) डिप्लोय गर्नको लागि नालीको रूपमा काम गर्यो। WailingCrab पछाडिको मास्टरमाइन्ड खतरा अभिनेता TA544 हो, जसलाई बाँस स्पाइडर र ज्यूस पान्डा पनि भनिन्छ।
यसको अपरेटरहरू द्वारा निरन्तर रूपमा राखिएको, मालवेयरले स्टिल्थका लागि डिजाइन गरिएका सुविधाहरू प्रदर्शन गर्दछ, यसले विश्लेषण प्रयासहरूलाई अझ राम्रोसँग विफल पार्न सक्षम पार्छ। यसको गोप्य प्रकृति बढाउनको लागि, मालवेयरले वैध तर सम्झौता गरिएका वेबसाइटहरू मार्फत C2 सञ्चारहरू सुरु गर्छ।
यसबाहेक, मालवेयरका कम्पोनेन्टहरू व्यापक रूपमा प्रयोग हुने प्लेटफर्महरू जस्तै Discord मा भण्डारण गरिन्छ। उल्लेखनीय रूपमा, २०२३ को मध्यदेखि मालवेयरको व्यवहारमा भएको एउटा महत्त्वपूर्ण परिमार्जनमा C2 सञ्चारका लागि साना सेन्सरहरू र मोबाइल यन्त्रहरूका लागि लक्षित MQTT, हल्का मेसेजिङ प्रोटोकल अपनाउने समावेश छ। यो प्रोटोकल खतरा परिदृश्यमा तुलनात्मक रूपमा असामान्य छ, यसको प्रयोगका केही उदाहरणहरू मात्र छन्, जसरी पहिले Tizi र MQsTTang जस्ता मामिलाहरूमा अवलोकन गरिएको थियो।
WailingCrab मालवेयरको डेलिभरीको लागि आक्रमण श्रृंखला
आक्रमणको अनुक्रम URL हरू रहेको PDF एट्याचमेन्टहरू भएको इमेलहरूसँग सुरु हुन्छ। यी URL मा क्लिक गर्दा Discord मा होस्ट गरिएको WailingCrab लोडर ल्याउन र कार्यान्वयन गर्न डिजाइन गरिएको JavaScript फाइलको डाउनलोड ट्रिगर हुन्छ।
लोडरको भूमिका भनेको इन्जेक्टर मोड्युलको रूपमा कार्य गर्ने शेलकोड सुरु गर्ने, त्यसपछिको चरण सुरु गर्नु हो। यसले, बारीमा, अन्तिम ब्याकडोर तैनाथ गर्न जिम्मेवार डाउनलोडरको कार्यान्वयनलाई ट्रिगर गर्दछ। पहिलेको पुनरावृत्तिहरूमा, यो कम्पोनेन्टले सिधै ब्याकडोर डाउनलोड गर्नेछ, Discord CDN मा संलग्नकको रूपमा होस्ट गरिएको छ।
WailingCrab को सबैभन्दा भर्खरको संस्करणले AES सँग ब्याकडोर कम्पोनेन्ट इन्क्रिप्ट गर्दछ। ब्याकडोर डाउनलोड गर्नुको सट्टा, यो ब्याकडोर डिक्रिप्ट गर्नको लागि डिक्रिप्शन कुञ्जी प्राप्त गर्न यसको C2 सर्भरमा पुग्छ। ब्याकडोर, मालवेयरको कोरको रूपमा काम गर्दै, संक्रमित होस्टमा दृढता स्थापित गर्दछ र थप पेलोडहरू प्राप्त गर्न MQTT प्रोटोकल मार्फत C2 सर्भरसँग सञ्चार गर्दछ।
यसबाहेक, ब्याकडोरको पछिल्लो भेरियन्टले MQTT मार्फत C2 बाट सीधा शेलकोड-आधारित पेलोडको पक्षमा Discord-आधारित डाउनलोड मार्ग त्याग्छ। WailingCrab द्वारा MQTT प्रोटोकल प्रयोग गर्नको लागि यो परिवर्तनले स्टिल्थ र बेवास्ता पत्ता लगाउनमा जानाजानी ध्यान केन्द्रित गर्दछ। WailingCrab को नयाँ संस्करणहरूले पेलोड पुन: प्राप्तिको लागि Discord मा निर्भरतालाई पनि हटाउँछ, यसको स्टिल्थ क्षमताहरूलाई थप बढाउँछ।
