มัลแวร์ WailingCrab

นักวิจัยของ Infosec เตือนว่าอีเมลที่มีธีมการจัดส่งและการจัดส่งกำลังถูกใช้เพื่อกระจายตัวโหลดมัลแวร์ที่ซับซ้อนที่เรียกว่า WailingCrab มัลแวร์นี้ประกอบด้วยองค์ประกอบหลายอย่าง รวมถึงตัวโหลด ตัวแทรกข้อมูล ตัวดาวน์โหลด และแบ็คดอร์ การสื่อสารที่ประสบความสำเร็จกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) มักจำเป็นในการดึงมัลแวร์ขั้นต่อมา

ผู้คุกคามกำลังพัฒนามัลแวร์ WailingCrab อย่างแข็งขัน

นักวิจัยระบุเบื้องต้นว่า WailingCrab ในเดือนสิงหาคม 2023 หลังจากพบว่ามีความเกี่ยวข้องในการรณรงค์โจมตีองค์กรของอิตาลี มัลแวร์นี้ทำหน้าที่เป็นช่องทางในการปรับใช้ Ursnif Trojan (หรือที่รู้จักในชื่อ Gozi) ผู้บงการเบื้องหลัง WailingCrab คือนักแสดงที่เป็นภัยคุกคาม TA544 ซึ่งเป็นที่รู้จักในนาม Bamboo Spider และ Zeus Panda

มัลแวร์ได้รับการดูแลอย่างต่อเนื่องโดยผู้ปฏิบัติงาน โดยแสดงคุณสมบัติที่ได้รับการออกแบบมาเพื่อการลักลอบ ทำให้สามารถขัดขวางความพยายามในการวิเคราะห์ได้ดีขึ้น เพื่อเพิ่มลักษณะการปกปิด มัลแวร์จะเริ่มต้นการสื่อสาร C2 ผ่านเว็บไซต์ที่ถูกต้องตามกฎหมายแต่ถูกบุกรุก

นอกจากนี้ ส่วนประกอบของมัลแวร์จะถูกจัดเก็บไว้ในแพลตฟอร์มที่ใช้กันอย่างแพร่หลาย เช่น Discord การเปลี่ยนแปลงที่สำคัญต่อพฤติกรรมของมัลแวร์ตั้งแต่กลางปี 2566 เกี่ยวข้องกับการนำ MQTT ซึ่งเป็นโปรโตคอลการรับส่งข้อความแบบน้ำหนักเบาสำหรับเซ็นเซอร์ขนาดเล็กและอุปกรณ์เคลื่อนที่มาใช้เพื่อการสื่อสาร C2 โปรโตคอลนี้ค่อนข้างแปลกในพื้นที่ภัยคุกคาม โดยมีการใช้งานเพียงไม่กี่อินสแตนซ์ ดังที่สังเกตไว้ก่อนหน้านี้ในกรณีเช่น Tizi และ MQsTTang

ห่วงโซ่การโจมตีสำหรับการส่งมัลแวร์ WailingCrab

ลำดับการโจมตีเริ่มต้นด้วยอีเมลที่มีไฟล์แนบ PDF ที่เก็บ URL การคลิก URL เหล่านี้จะทำให้เกิดการดาวน์โหลดไฟล์ JavaScript ที่ออกแบบมาเพื่อดึงข้อมูลและเรียกใช้ตัวโหลด WailingCrab ที่โฮสต์บน Discord

บทบาทของตัวโหลดคือการเริ่มต้นขั้นตอนต่อไป โดยเรียกใช้เชลล์โค้ดที่ทำหน้าที่เป็นโมดูลหัวฉีด สิ่งนี้จะกระตุ้นให้เกิดการดำเนินการของผู้ดาวน์โหลดที่รับผิดชอบในการปรับใช้แบ็คดอร์ขั้นสูงสุด ในการทำซ้ำก่อนหน้านี้ ส่วนประกอบนี้จะดาวน์โหลดแบ็คดอร์โดยตรง ซึ่งโฮสต์เป็นไฟล์แนบบน Discord CDN

WailingCrab เวอร์ชันล่าสุดเข้ารหัสส่วนประกอบประตูหลังด้วย AES แทนที่จะดาวน์โหลดแบ็คดอร์ มันจะติดต่อเซิร์ฟเวอร์ C2 เพื่อรับคีย์ถอดรหัสสำหรับการถอดรหัสลับประตูหลัง แบ็คดอร์ซึ่งทำหน้าที่เป็นแกนหลักของมัลแวร์ สร้างความคงอยู่บนโฮสต์ที่ติดไวรัส และสื่อสารกับเซิร์ฟเวอร์ C2 ผ่านโปรโตคอล MQTT เพื่อรับเพย์โหลดเพิ่มเติม

ยิ่งไปกว่านั้น เวอร์ชันล่าสุดของแบ็คดอร์ละทิ้งเส้นทางการดาวน์โหลดบน Discord และหันไปใช้เพย์โหลดที่ใช้เชลล์โค้ดโดยตรงจาก C2 ถึง MQTT การเปลี่ยนมาใช้โปรโตคอล MQTT โดย WailingCrab นี้บ่งบอกถึงการมุ่งความสนใจไปที่การเพิ่มประสิทธิภาพการลักลอบและการหลบเลี่ยงการตรวจจับโดยเจตนา WailingCrab เวอร์ชันใหม่กว่ายังช่วยลดการพึ่งพา Discord ในการเรียกข้อมูลเพย์โหลด และเพิ่มความสามารถในการซ่อนตัวอีกด้วย