WailingCrab マルウェアが電子メール キャンペーンを通じて配布される
配信と配送をテーマにした電子メールは、WailingCrab として知られる高度なマルウェア ローダーを配布するために使用されています。 IBM X-Forceの研究者によると、このマルウェアはローダー、インジェクター、ダウンローダー、バックドアなどのさまざまなコンポーネントで構成されています。次の段階に進むには、コマンド アンド コントロール (C2) サーバーとの対話が成功することが重要です。
2023 年 8 月に Proofpoint によって最初に特定され、WikiLoader とも呼ばれた WailingCrab は、Ursnif (別名 Gozi) トロイの木馬を展開するためにイタリアの組織を標的としたキャンペーンで利用されました。このマルウェアは、脅威アクター TA544 または Bamboo Spider/Zeus Panda によるもので、Hive0133 という名前のクラスターによって管理されています。
このマルウェアは、運用者によって積極的に保守されており、ステルス性を優先し、分析作業を妨げる機能が組み込まれています。検出を回避するために、最初の C2 通信には侵害された正規の Web サイトが使用されます。特に、マルウェアのコンポーネントは Discord などの一般的なプラットフォームに保存されています。 2023 年半ば以降の重要な変更は、C2 に軽量メッセージング プロトコルである MQTT が採用されたことであり、これは脅威界では珍しいことです。
WailingCrab の感染チェーン
一連の攻撃は、PDF 添付ファイルと URL を含む電子メールから始まります。これらの URL をクリックすると、JavaScript ファイルのダウンロードがトリガーされ、Discord で WailingCrab ローダーが開始されます。ローダーはシェルコードを起動し、インジェクター モジュールをアクティブ化し、最終的にバックドアをインストールするダウンローダーの展開につながります。
WailingCrab の最新バージョンは、バックドア コンポーネントを AES で暗号化し、その C2 と通信して復号キーを取得します。バックドアはマルウェアの中核として機能し、感染したホスト上で永続性を確立し、MQTT プロトコルを使用して C2 サーバーと通信して追加のペイロードを受信します。さらに、バックドアの最近の亜種は、以前の Discord ベースのダウンロード パスを放棄し、MQTT 経由で C2 から直接シェルコード ベースのペイロードを選択します。