Teslimat ve gönderim temalı e-posta mesajları, gelişmiş bir kötü amaçlı yazılım yükleyicisi sunmak için kullanılıyor. AğlayanYengeç.
IBM X-Force araştırmacıları Charlotte Hammond, Ole Villadsen ve “Kötü amaçlı yazılımın kendisi bir yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere birçok bileşene bölünmüş durumda ve C2 kontrollü sunuculara yapılan başarılı istekler genellikle bir sonraki aşamaya geçmek için gerekli.” Kat Metric dedi.
WikiLoader olarak da adlandırılan WailingCrab, ilk olarak Ağustos 2023’te Proofpoint tarafından belgelendi ve sonuçta Ursnif (diğer adıyla Gozi) truva atını dağıtmak için kötü amaçlı yazılım kullanan İtalyan kuruluşlarını hedef alan kampanyaların ayrıntıları verildi. Aralık 2022’nin sonlarında vahşi doğada görüldü.
Kötü amaçlı yazılım, Bambu Örümceği ve Zeus Panda olarak da takip edilen TA544 olarak bilinen bir tehdit aktörünün eseridir. IBM X-Force, kümeye Hive0133 adını verdi.
Operatörleri tarafından aktif olarak bakımı yapılan kötü amaçlı yazılımın, gizliliği ön planda tutan ve analiz çabalarına direnmesine olanak tanıyan özellikler içerdiği gözlemlendi. Tespit şansını daha da azaltmak amacıyla, ilk komuta ve kontrol (C2) iletişimleri için meşru, saldırıya uğramış web siteleri kullanılır.
Dahası, kötü amaçlı yazılımın bileşenleri Discord gibi iyi bilinen platformlarda depolanıyor. 2023 ortasından bu yana kötü amaçlı yazılımda yapılan bir diğer dikkate değer değişiklik, C2 için küçük sensörler ve mobil cihazlara yönelik hafif bir mesajlaşma protokolü olan MQTT’nin kullanılmasıdır.
Protokol, geçmişte Tizi ve MQsTTang vakasında görüldüğü gibi, yalnızca birkaç durumda kullanıldığı için tehdit ortamında nadir görülen bir şeydir.
Saldırı zincirleri, tıklandığında Discord’da barındırılan WailingCrab yükleyicisini almak ve başlatmak için tasarlanmış bir JavaScript dosyasını indiren URL’ler içeren PDF ekleri içeren e-postalarla başlıyor.
Yükleyici, bir sonraki aşamadaki kabuk kodunun (enjektör modülü) başlatılmasından sorumludur ve bu modül, sonuçta arka kapıyı dağıtmak için indiricinin yürütülmesini başlatır.
Araştırmacılar, “Önceki sürümlerde bu bileşen, Discord CDN’sinde ek olarak barındırılacak olan arka kapıyı indiriyordu” dedi.
“Ancak, WailingCrab’in en son sürümü zaten AES ile şifrelenmiş arka kapı bileşenini içeriyor ve bunun yerine arka kapının şifresini çözmek için bir şifre çözme anahtarı indirmek üzere C2’sine ulaşıyor.”
Kötü amaçlı yazılımın çekirdeği görevi gören arka kapı, virüslü ana bilgisayarda kalıcılık oluşturmak ve ek yükler almak için MQTT protokolünü kullanarak C2 sunucusuyla iletişim kurmak için tasarlanmıştır.
Üstelik, arka kapının daha yeni varyantları, Discord tabanlı indirme yolundan kaçınarak, MQTT aracılığıyla doğrudan C2’den gelen kabuk kodu tabanlı bir veri yükünü tercih ediyor.
Araştırmacılar, “WailingCrab’in MQTT protokolünü kullanmaya başlaması, gizlilik ve tespitten kaçınmaya odaklanmış bir çabayı temsil ediyor” sonucuna vardı. “WailingCrab’in daha yeni çeşitleri aynı zamanda yüklerin alınması için Discord’a yapılan çağrıları da kaldırarak gizliliğini daha da artırıyor.”
“Discord, kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri için giderek daha yaygın bir tercih haline geldi ve bu nedenle, alan adından indirilen dosyaların daha yüksek düzeyde incelemeye tabi tutulması muhtemeldir. Bu nedenle, WailingCrab geliştiricilerinin bu kararı vermesi şaşırtıcı değil. alternatif bir yaklaşım.”
Discord’un içerik dağıtım ağının (CDN) kötü amaçlı yazılım dağıtmak amacıyla kötüye kullanılması, bu ayın başlarında Bleeping Computer’a yıl sonuna kadar geçici dosya bağlantılarına geçeceğini söyleyen sosyal medya şirketinin gözünden kaçmadı.