透過電子郵件活動傳播 WailingCrab 惡意軟體
帶有交付和運輸主題的電子郵件被用來分發名為“WailingCrab”的複雜惡意軟體載入程式。 IBM X-Force 的研究人員表示,該惡意軟體包含各種元件,包括載入器、注入器、下載器和後門。與命令與控制 (C2) 伺服器的成功互動對於進入下一階段至關重要。
最初由 Proofpoint 於 2023 年 8 月發現,也稱為 WikiLoader,WailingCrab 被用於針對義大利組織的部署 Ursnif(又稱 Gozi)木馬的活動。該惡意軟體由威脅行為者 TA544 或 Bamboo Spider/Zeus Panda 發起,由名為 Hive0133 的叢集管理。
這種惡意軟體由其運營商積極維護,包含優先考慮隱密性和阻礙分析工作的功能。為了逃避檢測,使用合法的受感染網站進行初始 C2 通訊。值得注意的是,該惡意軟體的元件儲存在 Discord 等流行平台上。自 2023 年中期以來,一項重大變化是針對 C2 採用了 MQTT(一種輕量級訊息傳遞協議),這在威脅環境中很少見。
哭蟹的感染鏈
攻擊序列從包含 PDF 附件和 URL 的電子郵件開始。點擊這些 URL 會觸發 JavaScript 檔案的下載,從而在 Discord 上啟動 WailingCrab 載入程式。載入程式啟動 shellcode,啟動注入器模組,導致部署下載程序,最終安裝後門。
最新的WailingCrab版本使用AES加密後門元件,並與其C2通訊以取得解密金鑰。該後門作為惡意軟體的核心,在受感染的主機上建立持久性,並使用 MQTT 協定與 C2 伺服器進行通訊以接收額外的有效負載。此外,後門的最新變體選擇透過 MQTT 直接從 C2 取得基於 shellcode 的有效負載,放棄了先前基於 Discord 的下載路徑。