通过电子邮件活动传播 WailingCrab 恶意软件
带有交付和运输主题的电子邮件被用来分发名为“WailingCrab”的复杂恶意软件加载程序。 IBM X-Force 的研究人员表示,该恶意软件包含各种组件,包括加载器、注入器、下载器和后门。与命令与控制 (C2) 服务器的成功交互对于进入下一阶段至关重要。
最初由 Proofpoint 于 2023 年 8 月发现,也称为 WikiLoader,WailingCrab 被用于针对意大利组织的部署 Ursnif(又名 Gozi)木马的活动。该恶意软件由威胁行为者 TA544 或 Bamboo Spider/Zeus Panda 发起,由名为 Hive0133 的集群管理。
这种恶意软件由其运营商积极维护,包含优先考虑隐秘性和阻碍分析工作的功能。为了逃避检测,使用合法的受感染网站进行初始 C2 通信。值得注意的是,该恶意软件的组件存储在 Discord 等流行平台上。自 2023 年中期以来,一项重大变化是针对 C2 采用了 MQTT(一种轻量级消息传递协议),这在威胁环境中很少见。
哭蟹的感染链
攻击序列从包含 PDF 附件和 URL 的电子邮件开始。单击这些 URL 会触发 JavaScript 文件的下载,从而在 Discord 上启动 WailingCrab 加载程序。加载程序启动一个 shellcode,该代码会激活注入器模块,从而部署最终安装后门的下载程序。
最新的WailingCrab版本使用AES加密后门组件,并与其C2通信以获取解密密钥。该后门作为恶意软件的核心,在受感染的主机上建立持久性,并使用 MQTT 协议与 C2 服务器通信以接收额外的有效负载。此外,后门的最新变体选择通过 MQTT 直接从 C2 获取基于 shellcode 的有效负载,放弃了之前基于 Discord 的下载路径。