Zlonamerna programska oprema WailingCrab

Raziskovalci Infosec opozarjajo, da se e-poštna sporočila s temo dostave in pošiljanja uporabljajo kot sredstvo za distribucijo prefinjenega nalagalnika zlonamerne programske opreme, imenovanega WailingCrab. Ta zlonamerna programska oprema je sestavljena iz več komponent, vključno z nalagalnikom, injektorjem, prenosnikom in stranskimi vrati. Uspešna komunikacija s strežniki Command-and-Control (C2, C&C) je pogosto potrebna za pridobitev naslednje stopnje zlonamerne programske opreme.

Akterji groženj aktivno razvijajo zlonamerno programsko opremo WailingCrab

Raziskovalci so najprej identificirali WailingCrab avgusta 2023, potem ko so odkrili njegovo vpletenost v napadalne kampanje proti italijanskim organizacijam. Ta zlonamerna programska oprema je služila kot kanal za namestitev trojanca Ursnif (znanega tudi kot Gozi). Glavni um za WailingCrab je igralec grožnje TA544, znan tudi kot Bamboo Spider in Zeus Panda.

Zlonamerna programska oprema, ki jo njeni operaterji nenehno vzdržujejo, ima funkcije, zasnovane za prikritost, kar ji omogoča, da bolje prepreči prizadevanja za analizo. Da bi izboljšala svojo prikrito naravo, zlonamerna programska oprema sproži komunikacijo C2 prek zakonitih, a ogroženih spletnih mest.

Poleg tega so komponente zlonamerne programske opreme shranjene na široko uporabljenih platformah, kot je Discord. Predvsem pomembna sprememba obnašanja zlonamerne programske opreme od sredine leta 2023 vključuje sprejetje MQTT, lahkega protokola za sporočanje, namenjenega majhnim senzorjem in mobilnim napravam, za komunikacijo C2. Ta protokol je razmeroma redek v krajini groženj, z le nekaj primeri njegove uporabe, kot smo že opazili v primerih, kot sta Tizi in MQsTTang.

Veriga napadov za dostavo zlonamerne programske opreme WailingCrab

Zaporedje napadov se začne z e-poštnimi sporočili, ki vsebujejo priloge PDF, ki vsebujejo naslove URL. Klik na te URL-je sproži prenos datoteke JavaScript, ki je namenjena pridobivanju in izvajanju nalagalnika WailingCrab, ki gostuje na Discordu.

Vloga nalagalnika je sprožiti naslednjo stopnjo, zagnati lupinsko kodo, ki služi kot injektorski modul. To pa sproži izvedbo prenosnika, ki je odgovoren za postavitev končnega backdoorja. V prejšnjih iteracijah bi ta komponenta neposredno prenesla stranska vrata, gostovana kot priloga na Discord CDN.

Najnovejša različica WailingCrab šifrira backdoor komponento z AES. Namesto prenosa stranskih vrat se obrne na svoj strežnik C2, da pridobi ključ za dešifriranje stranskih vrat. Zadnja vrata, ki delujejo kot jedro zlonamerne programske opreme, vzpostavijo obstojnost na okuženem gostitelju in komunicirajo s strežnikom C2 prek protokola MQTT, da prejmejo dodatne obremenitve.

Poleg tega najnovejše različice zakulisnih vrat opuščajo pot prenosa, ki temelji na Discordu, v korist koristnega tovora, ki temelji na lupinski kodi, neposredno iz C2 prek MQTT. Ta prehod na uporabo protokola MQTT s strani WailingCrab pomeni namerno osredotočenost na izboljšanje prikritosti in izogibanje zaznavanju. Novejše različice WailingCrab prav tako odpravljajo odvisnost od Discorda za pridobivanje koristnega tovora, kar dodatno povečuje njegove prikrite zmogljivosti.