Κακόβουλο λογισμικό WailingCrab που διανέμεται μέσω της καμπάνιας ηλεκτρονικού ταχυδρομείου
Τα μηνύματα ηλεκτρονικού ταχυδρομείου με θέμα παράδοσης και αποστολής χρησιμοποιούνται για τη διανομή ενός εξελιγμένου προγράμματος φόρτωσης κακόβουλου λογισμικού, γνωστό ως WailingCrab. Σύμφωνα με ερευνητές της IBM X-Force, το κακόβουλο λογισμικό περιλαμβάνει διάφορα στοιχεία, όπως loader, injector, downloader και backdoor. Οι επιτυχείς αλληλεπιδράσεις με διακομιστές εντολών και ελέγχου (C2) είναι ζωτικής σημασίας για την πρόοδο στο επόμενο στάδιο.
Αρχικά αναγνωρίστηκε από την Proofpoint τον Αύγουστο του 2023 και αναφέρεται επίσης ως WikiLoader, το WailingCrab χρησιμοποιήθηκε σε εκστρατείες που στόχευαν ιταλικούς οργανισμούς για την ανάπτυξη του trojan Ursnif (γνωστός και ως Gozi). Το κακόβουλο λογισμικό, που αποδίδεται στον παράγοντα απειλής TA544 ή στο Bamboo Spider/Zeus Panda, διαχειρίζεται το σύμπλεγμα με το όνομα Hive0133.
Αυτό το κακόβουλο λογισμικό, το οποίο διατηρείται ενεργά από τους χειριστές του, ενσωματώνει χαρακτηριστικά που δίνουν προτεραιότητα στη μυστικότητα και εμποδίζουν τις προσπάθειες ανάλυσης. Για να αποφευχθεί ο εντοπισμός, χρησιμοποιούνται νόμιμοι παραβιασμένοι ιστότοποι για τις αρχικές επικοινωνίες C2. Συγκεκριμένα, τα στοιχεία του κακόβουλου λογισμικού αποθηκεύονται σε δημοφιλείς πλατφόρμες όπως το Discord. Από τα μέσα του 2023, μια σημαντική αλλαγή είναι η υιοθέτηση του MQTT, ενός ελαφρού πρωτοκόλλου ανταλλαγής μηνυμάτων, για το C2, το οποίο είναι σπάνιο στο τοπίο των απειλών.
WailingCrab's Infection Chain
Η ακολουθία επίθεσης ξεκινά με email που περιέχουν συνημμένα PDF και διευθύνσεις URL. Κάνοντας κλικ σε αυτές τις διευθύνσεις URL ενεργοποιείται η λήψη ενός αρχείου JavaScript, εκκινώντας το πρόγραμμα φόρτωσης WailingCrab στο Discord. Ο φορτωτής εκκινεί έναν shellcode, ο οποίος ενεργοποιεί μια μονάδα έγχυσης, οδηγώντας στην ανάπτυξη ενός προγράμματος λήψης που τελικά εγκαθιστά την κερκόπορτα.
Η πιο πρόσφατη έκδοση WailingCrab κρυπτογραφεί το στοιχείο backdoor με AES και επικοινωνεί με το C2 του για να αποκτήσει ένα κλειδί αποκρυπτογράφησης. Η κερκόπορτα, που χρησιμεύει ως ο πυρήνας του κακόβουλου λογισμικού, εδραιώνει την επιμονή στον μολυσμένο κεντρικό υπολογιστή και επικοινωνεί με τον διακομιστή C2 χρησιμοποιώντας το πρωτόκολλο MQTT για τη λήψη πρόσθετων ωφέλιμων φορτίων. Επιπλέον, οι πρόσφατες παραλλαγές του backdoor επιλέγουν ένα ωφέλιμο φορτίο που βασίζεται σε κώδικα κελύφους απευθείας από το C2 μέσω MQTT, εγκαταλείποντας την προηγούμενη διαδρομή λήψης που βασίζεται στο Discord.