„WailingCrab“ kenkėjiška programa, platinama per el. pašto kampaniją
El. laiškai su pristatymo ir siuntimo tema yra naudojami platinant sudėtingą kenkėjiškų programų įkroviklį, žinomą kaip „WailingCrab“. Pasak IBM X-Force tyrėjų, kenkėjišką programą sudaro įvairūs komponentai, įskaitant įkroviklį, purkštuką, atsisiuntimo programą ir užpakalines duris. Sėkminga sąveika su komandų ir valdymo (C2) serveriais yra labai svarbi norint pereiti į kitą etapą.
Iš pradžių 2023 m. rugpjūčio mėn. „Proofpoint“ identifikuotas ir dar vadinamas „WikiLoader“, „WailingCrab“ buvo naudojamas kampanijose, skirtose Italijos organizacijoms diegti „Ursnif“ (dar žinomas kaip „Gozi“) Trojos arklys. Kenkėjišką programinę įrangą, priskirtą grėsmės veikėjui TA544 arba Bamboo Spider/Zeus Panda, valdo klasteris, pavadintas Hive0133.
Ši kenkėjiška programa, kurią aktyviai prižiūri jos operatoriai, apima funkcijas, kurios teikia pirmenybę slaptam ir trukdo analizuoti. Siekiant išvengti aptikimo, pradiniam C2 ryšiui naudojamos teisėtos pažeistos svetainės. Pažymėtina, kad kenkėjiškų programų komponentai yra saugomi tokiose populiariose platformose kaip „Discord“. Nuo 2023 m. vidurio reikšmingas pokytis yra MQTT – lengvojo pranešimų siuntimo protokolo, skirto C2, priėmimas, o tai yra retenybė grėsmių aplinkoje.
„WailingCrab“ infekcijos grandinė
Atakos seka pradedama nuo el. laiškų su PDF priedais ir URL. Spustelėjus šiuos URL suaktyvinamas „JavaScript“ failo atsisiuntimas, paleisdamas „WailingCrab“ įkroviklį sistemoje „Discord“. Įkroviklis paleidžia apvalkalo kodą, kuris suaktyvina injektoriaus modulį, o tai leidžia įdiegti atsisiuntimo programą, kuri galiausiai įdiegia užpakalines duris.
Naujausia „WailingCrab“ versija užšifruoja užpakalinių durų komponentą su AES ir susisiekia su jo C2, kad gautų iššifravimo raktą. Užpakalinės durys, veikiančios kaip kenkėjiškos programos šerdis, užtikrina užkrėsto pagrindinio kompiuterio patvarumą ir bendrauja su C2 serveriu naudodamos MQTT protokolą, kad gautų papildomus naudingus krovinius. Be to, naujausi užpakalinių durų variantai pasirenka apvalkalo kodu pagrįstą naudingą apkrovą tiesiai iš C2 per MQTT, atsisakant ankstesnio „Discord“ pagrįsto atsisiuntimo kelio.