Araştırmacılar, WailingCrab adı verilen karmaşık, çok bileşenli kötü amaçlı yazılımdaki gelişmeleri, özellikle de MQTT Nesnelerin İnterneti (IoT) mesajlaşma protokolünün kötüye kullanılmasını da içeren C2 iletişim teknikleriyle ilgili gelişmeleri fark etti.
Yaygın olarak WikiLoader olarak adlandırılan WailingCrab kötü amaçlı yazılımı çoğunlukla bir ilk erişim aracısı olan Hive0133 aracılığıyla dağıtılır.
İlk olarak Aralık 2022’de keşfedildi ve o zamandan beri Gozi arka kapısını yüklemek için çoğunlukla İtalyan hedeflere yönelik e-posta kampanyalarında yaygın olarak kullanıldı. Bu çabalarda Microsoft Excel, Microsoft OneNote veya PDF ekleri kullanılmıştır.
Hive0133, genellikle gecikmiş teslimat veya nakliye faturaları gibi temalardan yararlanarak WailingCrab sunan e-posta kampanyaları olan kuruluşları hedefliyor. Ayrıca son aylarda e-posta kampanyalarında kötü amaçlı URL’ler içeren PDF eklerinin kullanılmasını destekliyor.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
C2 İletişimleri için Mesajlaşma Protokolünün Kötüye Kullanılması
IBM X-Force araştırmacılarına göre WailingCrab’in ana bileşeni, yalnızca kötü amaçlı yazılımın başlangıç aşamalarının başarıyla tamamlanması durumunda sisteme yüklenen arka kapısıdır.
WailingCrab’ın arka kapı bileşeni, 2023’ün ortasından beri hafif IoT mesaj protokolü MQTT aracılığıyla C2 ile iletişim halindedir.
MQTT, merkezi bir komisyoncunun mesajları dağıttığı ve daha sonra “konulara” yayınlanıp aboneler tarafından alındığı bir yayınlama/abone olma mimarisini kullanır. Bu durumda WailingCrab, broker.emqx’i kullanarak C2 sunucusunun gerçek adresini gizler.[.]io, saygın bir üçüncü taraf komisyoncu.
WailingCrab’ın MQTT protokolüne geçişi, tespit edilmekten kaçınmaya ve gizlice çalışmaya odaklanmış bir girişimdir. Kötü amaçlı yazılımlar artık MQTT protokolünü sıklıkla kullanmıyor.
Öte yandan, MQTT esas olarak Nesnelerin İnterneti trafiği için kullanıldığından, herhangi bir IoT etkinliğinin olmaması gereken sistemlerde veya ortamlarda MQTT’nin kötü niyetli kullanımının tespit edilmesi daha kolay olabilir.
WailingCrab’i daha da gizli hale getirmek için en yeni sürümler, yük alımı için Discord’a yapılan çağrıları ortadan kaldırıyor. Kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri giderek daha fazla Discord’u tercih ediyor; bu nedenle alan adından indirilen dosyaların daha yakından incelenmeye başlanması mümkündür. Buradan WailingCrab geliştiricilerinin farklı bir strateji seçmesinin şok edici olmadığı anlaşılıyor.
Yalnızca birkaç vaka belgelendi; en sonuncusu, tehdit aktörü Mustang Panda ile bağlantılı MQsTTang arka kapısıydı. Sonuç olarak, güvenlik ekipleri protokolün kullanımını yakından takip edemeyebilir ve bu da arka kapının C2 iletişimlerinin fark edilmemesine neden olabilir.
Öneri
- İlgili tüm dosyaların ve anti-virüs yazılımlarının güncellendiğinden emin olun.
- Ortamınızda belirtilen IOC’lerin mevcut kanıtlarını arayın Tüm URL ve IP tabanlı IOC’ler için engellemeyi ve/veya algılamayı ayarlamayı düşünün
- Özellikle Nesnelerin İnterneti ile ilgili etkinliklerin gerçekleşmemesi gereken sistemlerde veya ortamlarda MQTT protokolünün kullanımını önlemeyi veya buna dikkat etmeyi düşünün.
- İşletim sistemlerini ve uygulamaları en son yama sürümü düzeyinde tutun.
- E-postalardaki bağlantılara ve eklere tıklarken dikkatli olun.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.