通过电子邮件活动传播 WailingCrab 恶意软件

带有交付和运输主题的电子邮件被用来分发名为“WailingCrab”的复杂恶意软件加载程序。 IBM X-Force 的研究人员表示，该恶意软件包含各种组件，包括加载器、注入器、下载器和后门。与命令与控制 (C2) 服务器的成功交互对于进入下一阶段至关重要。

最初由 Proofpoint 于 2023 年 8 月发现，也称为 WikiLoader，WailingCrab 被用于针对意大利组织的部署 Ursnif（又名 Gozi）木马的活动。该恶意软件由威胁行为者 TA544 或 Bamboo Spider/Zeus Panda 发起，由名为 Hive0133 的集群管理。

这种恶意软件由其运营商积极维护，包含优先考虑隐秘性和阻碍分析工作的功能。为了逃避检测，使用合法的受感染网站进行初始 C2 通信。值得注意的是，该恶意软件的组件存储在 Discord 等流行平台上。自 2023 年中期以来，一项重大变化是针对 C2 采用了 MQTT（一种轻量级消息传递协议），这在威胁环境中很少见。

哭蟹的感染链

攻击序列从包含 PDF 附件和 URL 的电子邮件开始。单击这些 URL 会触发 JavaScript 文件的下载，从而在 Discord 上启动 WailingCrab 加载程序。加载程序启动一个 shellcode，该代码会激活注入器模块，从而部署最终安装后门的下载程序。

最新的WailingCrab版本使用AES加密后门组件，并与其C2通信以获取解密密钥。该后门作为恶意软件的核心，在受感染的主机上建立持久性，并使用 MQTT 协议与 C2 服务器通信以接收额外的有效负载。此外，后门的最新变体选择通过 MQTT 直接从 C2 获取基于 shellcode 的有效负载，放弃了之前基于 Discord 的下载路径。