Вредоносное ПО WailingCrab

Исследователи Infosec предупреждают, что электронные письма, посвященные доставке и доставке, используются как средство распространения сложного загрузчика вредоносного ПО под названием WailingCrab. Эта вредоносная программа состоит из нескольких компонентов, включая загрузчик, инжектор, загрузчик и бэкдор. Для получения следующей стадии вредоносного ПО часто требуется успешная связь с серверами управления и контроля (C2, C&C).

Злоумышленники активно разрабатывают вредоносное ПО WailingCrab

Исследователи первоначально идентифицировали WailingCrab в августе 2023 года после того, как обнаружили его причастность к атакам на итальянские организации. Это вредоносное ПО служило каналом для развертывания трояна Ursnif (также известного как Gozi). Вдохновителем WailingCrab является злоумышленник TA544, также известный как Бамбуковый Паук и Зевс Панда.

Вредоносное ПО, постоянно поддерживаемое операторами, демонстрирует функции, разработанные для скрытности, что позволяет ему лучше препятствовать усилиям по анализу. Чтобы усилить свою скрытность, вредоносное ПО инициирует связь C2 через законные, но взломанные веб-сайты.

Кроме того, компоненты вредоносного ПО хранятся на широко используемых платформах, таких как Discord. Примечательно, что значительное изменение поведения вредоносного ПО с середины 2023 года связано с внедрением MQTT, облегченного протокола обмена сообщениями, предназначенного для небольших датчиков и мобильных устройств, для связи C2. Этот протокол относительно редко встречается в ландшафте угроз, и он использовался лишь в нескольких случаях, как ранее наблюдалось в таких случаях, как Tizi и MQsTTang.

Цепочка атак для доставки вредоносного ПО WailingCrab

Последовательность атак начинается с электронных писем, содержащих вложения в формате PDF, содержащие URL-адреса. Нажатие на эти URL-адреса запускает загрузку файла JavaScript, предназначенного для загрузки и выполнения загрузчика WailingCrab, размещенного на Discord.

Роль загрузчика — инициировать следующий этап, запуская шеллкод, который служит модулем-инжектором. Это, в свою очередь, запускает загрузчик, ответственный за развертывание бэкдора. В более ранних итерациях этот компонент напрямую загружал бэкдор, размещенный в виде вложения в Discord CDN.

Самая последняя версия WailingCrab шифрует компонент бэкдора с помощью AES. Вместо загрузки бэкдора он обращается к своему серверу C2, чтобы получить ключ дешифрования для расшифровки бэкдора. Бэкдор, действующий как ядро вредоносного ПО, обеспечивает постоянство на зараженном хосте и связывается с сервером C2 через протокол MQTT для получения дополнительных полезных данных.

Более того, последние варианты бэкдора отказываются от пути загрузки на основе Discord в пользу полезной нагрузки на основе шеллкода непосредственно от C2 через MQTT. Этот переход WailingCrab к использованию протокола MQTT означает намеренное внимание к повышению скрытности и уклонению от обнаружения. Новые версии WailingCrab также устраняют необходимость использования Discord для извлечения полезной нагрузки, что еще больше расширяет его возможности скрытности.