透過電子郵件活動傳播 WailingCrab 惡意軟體

帶有交付和運輸主題的電子郵件被用來分發名為“WailingCrab”的複雜惡意軟體載入程式。 IBM X-Force 的研究人員表示，該惡意軟體包含各種元件，包括載入器、注入器、下載器和後門。與命令與控制 (C2) 伺服器的成功互動對於進入下一階段至關重要。

最初由 Proofpoint 於 2023 年 8 月發現，也稱為 WikiLoader，WailingCrab 被用於針對義大利組織的部署 Ursnif（又稱 Gozi）木馬的活動。該惡意軟體由威脅行為者 TA544 或 Bamboo Spider/Zeus Panda 發起，由名為 Hive0133 的叢集管理。

這種惡意軟體由其運營商積極維護，包含優先考慮隱密性和阻礙分析工作的功能。為了逃避檢測，使用合法的受感染網站進行初始 C2 通訊。值得注意的是，該惡意軟體的元件儲存在 Discord 等流行平台上。自 2023 年中期以來，一項重大變化是針對 C2 採用了 MQTT（一種輕量級訊息傳遞協議），這在威脅環境中很少見。

哭蟹的感染鏈

攻擊序列從包含 PDF 附件和 URL 的電子郵件開始。點擊這些 URL 會觸發 JavaScript 檔案的下載，從而在 Discord 上啟動 WailingCrab 載入程式。載入程式啟動 shellcode，啟動注入器模組，導致部署下載程序，最終安裝後門。

最新的WailingCrab版本使用AES加密後門元件，並與其C2通訊以取得解密金鑰。該後門作為惡意軟體的核心，在受感染的主機上建立持久性，並使用 MQTT 協定與 C2 伺服器進行通訊以接收額外的有效負載。此外，後門的最新變體選擇透過 MQTT 直接從 C2 取得基於 shellcode 的有效負載，放棄了先前基於 Discord 的下載路徑。