哭蟹惡意軟體

資訊安全研究人員警告稱，帶有交付和運輸主題的電子郵件正被用作分發名為「WailingCrab」的複雜惡意軟體載入程式的手段。該惡意軟體由多個元件組成，包括載入器、注入器、下載器和後門。通常需要與命令與控制（C2、C&C）伺服器成功通訊才能取得惡意軟體的後續階段。

威脅參與者正在積極開發WailingCrab 惡意軟體

研究人員在 2023 年 8 月發現 WailingCrab 參與針對義大利組織的攻擊活動後，最初發現了它。該惡意軟體充當了部署Ursnif木馬（也稱為 Gozi）的管道。 「WailingCrab」背後的主謀是威脅行動者 TA544，也被認為是竹蜘蛛和宙斯熊貓。

該惡意軟體由其運營商持續維護，具有專為隱密設計的功能，使其能夠更好地阻止分析工作。為了增強其隱蔽性，該惡意軟體透過合法但受感染的網站發起 C2 通訊。

此外，惡意軟體的元件儲存在 Discord 等廣泛使用的平台上。值得注意的是，自 2023 年中期以來，惡意軟體的行為發生了重大修改，涉及採用 MQTT，這是一種用於小型感測器和行動裝置的輕量級訊息傳遞協議，用於 C2 通訊。該協議在威脅環境中相對不常見，只有少數使用實例，如先前在 Tizi 和 MQsTTang 等案例中觀察到的。

傳送WailingCrab 惡意軟體的攻擊鏈

攻擊序列從包含包含 URL 的 PDF 附件的電子郵件開始。點擊這些 URL 會觸發 JavaScript 檔案的下載，該檔案旨在獲取並執行 Discord 上託管的 WailingCrab 載入程式。

載入器的作用是啟動後續階段，啟動充當注入器模組的 shellcode。這反過來又會觸發負責部署最終後門的下載程式的執行。在早期的迭代中，該元件將直接下載後門，並作為附件託管在 Discord CDN 上。

最新版本的 WailingCrab 使用 AES 加密後門元件。它沒有下載後門，而是聯繫其 C2 伺服器來取得用於解密後門的解密金鑰。後門作為惡意軟體的核心，在受感染的主機上建立持久性，並透過 MQTT 協定與 C2 伺服器通訊以接收額外的有效負載。

此外，後門的最新變體放棄了基於 Discord 的下載路徑，轉而透過 MQTT 直接從 C2 取得基於 shellcode 的有效負載。 WailingCrab 轉向使用 MQTT 協議，標誌著其刻意致力於增強隱密性和逃避偵測。新版本的WailingCrab也消除了對Discord進行有效負載檢索的依賴，進一步增強了其隱身能力。