WailingCrab Malware

Ang mga mananaliksik ng Infosec ay nagbabala na ang mga email na may tema ng paghahatid at pagpapadala ay ginagamit bilang isang paraan upang ipamahagi ang isang sopistikadong malware loader na tinatawag na WailingCrab. Ang malware na ito ay binubuo ng ilang bahagi, kabilang ang isang loader, injector, downloader at backdoor. Ang matagumpay na pakikipag-ugnayan sa mga server ng Command-and-Control (C2, C&C) ay madalas na kinakailangan upang makuha ang kasunod na yugto ng malware.

Aktibong Binubuo ng mga Threat Actor ang WailingCrab Malware

Una nang natukoy ng mga mananaliksik ang WailingCrab Noong Agosto 2023 matapos matuklasan ang pagkakasangkot nito sa mga kampanya ng pag-atake laban sa mga organisasyong Italyano. Ang malware na ito ay nagsilbing conduit para sa pag-deploy ng Ursnif Trojan (kilala rin bilang Gozi). Ang utak sa likod ng WailingCrab ay ang threat actor na si TA544, na kinilala rin bilang Bamboo Spider at Zeus Panda.

Patuloy na pinapanatili ng mga operator nito, ang malware ay nagpapakita ng mga tampok na idinisenyo para sa palihim, na nagbibigay-daan sa ito na hadlangan ang mga pagsusumikap sa pagsusuri nang mas mahusay. Upang mapahusay ang lihim na katangian nito, ang malware ay nagpapasimula ng mga komunikasyon sa C2 sa pamamagitan ng mga lehitimong ngunit nakompromisong mga website.

Higit pa rito, ang mga bahagi ng malware ay iniimbak sa malawakang ginagamit na mga platform tulad ng Discord. Kapansin-pansin, ang isang makabuluhang pagbabago sa gawi ng malware mula noong kalagitnaan ng 2023 ay nagsasangkot ng pagpapatibay ng MQTT, isang magaan na protocol sa pagmemensahe na nilayon para sa maliliit na sensor at mga mobile device, para sa C2 na komunikasyon. Ang protocol na ito ay medyo hindi pangkaraniwan sa landscape ng pagbabanta, na may ilang mga pagkakataon lamang ng paggamit nito, tulad ng dati nang naobserbahan sa mga kaso tulad ng Tizi at MQsTTang.

Ang Attack Chain para sa Paghahatid ng WailingCrab Malware

Nagsisimula ang pagkakasunud-sunod ng pag-atake sa mga email na naglalaman ng mga PDF attachment na may mga URL. Ang pag-click sa mga URL na ito ay nagti-trigger ng pag-download ng isang JavaScript file na idinisenyo upang kunin at isagawa ang WailingCrab loader na naka-host sa Discord.

Ang tungkulin ng loader ay simulan ang kasunod na yugto, na naglulunsad ng shellcode na nagsisilbing injector module. Ito, sa turn, ay nagti-trigger sa pagpapatupad ng isang downloader na responsable para sa pag-deploy ng ultimate backdoor. Sa mga naunang pag-ulit, direktang ida-download ng bahaging ito ang backdoor, na naka-host bilang isang attachment sa Discord CDN.

Ini-encrypt ng pinakabagong bersyon ng WailingCrab ang bahagi ng backdoor gamit ang AES. Sa halip na i-download ang backdoor, inaabot nito ang C2 server nito para kumuha ng decryption key para sa pag-decrypt sa backdoor. Ang backdoor, na kumikilos bilang core ng malware, ay nagtatatag ng pagtitiyaga sa infected na host at nakikipag-ugnayan sa C2 server sa pamamagitan ng MQTT protocol upang makatanggap ng mga karagdagang payload.

Bukod dito, ang pinakabagong mga variant ng backdoor ay umaabandona sa Discord-based na landas sa pag-download sa pabor sa isang shellcode-based na payload nang direkta mula sa C2 hanggang MQTT. Ang paglipat na ito sa paggamit ng MQTT protocol ng WailingCrab ay nagpapahiwatig ng sinasadyang pagtutok sa pagpapahusay ng stealth at pag-iwas sa pagtuklas. Ang mga mas bagong bersyon ng WailingCrab ay nag-aalis din ng pag-asa sa Discord para sa pagkuha ng kargamento, na higit na nagpapalaki sa mga kakayahan nito sa pagnanakaw.