Złośliwe oprogramowanie WailingCrab

Badacze firmy Infosec ostrzegają, że e-maile z motywem dostawy i wysyłki są wykorzystywane do dystrybucji wyrafinowanego modułu ładującego złośliwe oprogramowanie o nazwie WailingCrab. Szkodnik ten składa się z kilku komponentów, w tym modułu ładującego, wtryskiwacza, modułu pobierania i backdoora. Aby pobrać kolejny etap złośliwego oprogramowania, często wymagana jest pomyślna komunikacja z serwerami dowodzenia i kontroli (C2, C&C).

Podmioty zagrażające aktywnie rozwijają złośliwe oprogramowanie WailingCrab

Badacze początkowo zidentyfikowali WailingCrab w sierpniu 2023 r., po odkryciu jego udziału w kampaniach ataków na organizacje włoskie. Szkodnik ten posłużył jako kanał do wdrożenia trojana Ursnif (znanego również jako Gozi). Pomysłodawcą WailingCraba jest ugrupowanie zagrażające TA544, znane również jako Bamboo Spider i Zeus Panda.

Szkodnik ten, stale utrzymywany przez operatorów, posiada funkcje zaprojektowane z myślą o ukryciu się, co pozwala mu lepiej udaremnić wysiłki analityczne. Aby zwiększyć swój ukryty charakter, szkodliwe oprogramowanie inicjuje komunikację C2 za pośrednictwem legalnych, ale zainfekowanych stron internetowych.

Ponadto komponenty szkodliwego oprogramowania są przechowywane na powszechnie używanych platformach, takich jak Discord. Warto zauważyć, że znacząca modyfikacja zachowania szkodliwego oprogramowania od połowy 2023 r. polega na przyjęciu MQTT, lekkiego protokołu przesyłania wiadomości przeznaczonego dla małych czujników i urządzeń mobilnych, do komunikacji C2. Protokół ten jest stosunkowo rzadki w krajobrazie zagrożeń i ma tylko kilka przypadków jego użycia, jak zaobserwowano wcześniej w przypadkach takich jak Tizi i MQsTTang.

Łańcuch ataków w celu dostarczenia złośliwego oprogramowania WailingCrab

Sekwencja ataku rozpoczyna się od wiadomości e-mail zawierających załączniki w formacie PDF zawierające adresy URL. Kliknięcie tych adresów URL powoduje pobranie pliku JavaScript przeznaczonego do pobrania i uruchomienia modułu ładującego WailingCrab hostowanego na Discordzie.

Rolą modułu ładującego jest zainicjowanie kolejnego etapu, czyli uruchomienie kodu powłoki, który pełni rolę modułu wtryskiwacza. To z kolei powoduje uruchomienie modułu pobierającego odpowiedzialnego za wdrożenie najlepszego backdoora. We wcześniejszych iteracjach ten komponent bezpośrednio pobierał backdoora, hostowanego jako załącznik w CDN Discord.

Najnowsza wersja WailingCrab szyfruje komponent backdoora za pomocą AES. Zamiast pobierać backdoora, kontaktuje się ze swoim serwerem C2 w celu uzyskania klucza deszyfrującego umożliwiającego odszyfrowanie backdoora. Backdoor, będący rdzeniem szkodliwego oprogramowania, utrzymuje się na zainfekowanym hoście i komunikuje się z serwerem C2 za pośrednictwem protokołu MQTT w celu otrzymania dodatkowych ładunków.

Co więcej, najnowsze warianty backdoora porzucają ścieżkę pobierania opartą na Discord na rzecz ładunku opartego na kodzie powłoki bezpośrednio z C2 poprzez MQTT. To przejście na protokół MQTT przez WailingCrab oznacza celowe skupienie się na poprawie ukrywania się i unikania wykrycia. Nowsze wersje WailingCrab eliminują także zależność od Discorda w zakresie odzyskiwania ładunku, jeszcze bardziej zwiększając jego możliwości ukrywania się.