Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
Сообщения электронной почты, связанные с доставкой, используются для доставки сложного загрузчика вредоносных программ, известного как WailingCrab.
"Само вредоносное ПО разделено на несколько компонентов, включая загрузчик, инжектор, загрузчик и бэкдор, и для получения следующего этапа часто необходимы успешные запросы к серверам, контролируемым C2", - сказали исследователи IBM X-Force Шарлотта Хаммонд, Оле Вилладсен и Кэт Метрик.
WailingCrab, также называемый WikiLoader, был впервые задокументирован Proofpoint в августе 2023 года, в нем подробно описываются кампании, нацеленные на итальянские организации, которые использовали вредоносное ПО для окончательного развертывания троянца Ursnif (он же Gozi). Он был замечен в дикой природе в конце декабря 2022 года.
Вредоносное ПО является делом рук злоумышленника, известного как TA544, который также отслеживается как Bamboo Spider и Zeus Panda. IBM X-Force назвала кластер Hive0133.
Было замечено, что вредоносное ПО, активно поддерживаемое его операторами, включает в себя функции, которые делают приоритетным скрытность и позволяют ему противостоять попыткам анализа. Чтобы еще больше снизить шансы обнаружения, законные взломанные веб-сайты используются для первоначальной командно-контрольной связи (C2).
Более того, компоненты вредоносного ПО хранятся на хорошо известных платформах, таких как Discord. Еще одним примечательным изменением вредоносного ПО с середины 2023 года является использование для C2 MQTT, облегченного протокола обмена сообщениями для небольших датчиков и мобильных устройств.
Этот протокол является редкостью в мире угроз, и его используют лишь в нескольких случаях, как это наблюдалось в случае с Tizi и MQsTTang в прошлом.
Цепочки атак начинаются с электронных писем с PDF-вложениями, содержащими URL-адреса, при нажатии на которые загружается файл JavaScript, предназначенный для извлечения и запуска загрузчика WailingCrab, размещенного на Discord.
Загрузчик отвечает за запуск шеллкода следующего этапа, модуля инжектора, который, в свою очередь, запускает выполнение загрузчика для окончательного развертывания бэкдора.
"В предыдущих версиях этот компонент загружал бэкдор, который размещался в виде вложения на CDN Discord", - сказали исследователи.
"Однако последняя версия WailingCrab уже содержит компонент backdoor, зашифрованный с помощью AES, и вместо этого он обращается к своему C2, чтобы загрузить ключ дешифрования для расшифровки backdoor".
Бэкдор, который действует как ядро вредоносного ПО, предназначен для обеспечения сохраняемости на зараженном хосте и связи с сервером C2 по протоколу MQTT для получения дополнительных полезных данных.
Кроме того, более новые варианты бэкдора отказываются от пути загрузки на основе Discord в пользу полезной нагрузки на основе шеллкода непосредственно с C2 через MQTT.
"Переход WailingCrab на использование протокола MQTT представляет собой целенаправленные усилия по скрытности и уклонению от обнаружения", - заключили исследователи. "В более новых версиях WailingCrab также удаляются ссылки на Discord для получения полезных данных, что еще больше повышает его скрытность".
"Discord становится все более распространенным выбором для злоумышленников, желающих разместить вредоносное ПО, и поэтому вполне вероятно, что загрузка файлов с домена начнет подвергаться более тщательному контролю. Поэтому неудивительно, что разработчики WailingCrab выбрали альтернативный подход."
Злоупотребление сетью доставки контента Discord (CDN) для распространения вредоносного ПО не осталось незамеченным компанией социальных сетей, которая ранее в этом месяце сообщила Bleeping Computer, что к концу года перейдет на временные ссылки на файлы.
"Само вредоносное ПО разделено на несколько компонентов, включая загрузчик, инжектор, загрузчик и бэкдор, и для получения следующего этапа часто необходимы успешные запросы к серверам, контролируемым C2", - сказали исследователи IBM X-Force Шарлотта Хаммонд, Оле Вилладсен и Кэт Метрик.
WailingCrab, также называемый WikiLoader, был впервые задокументирован Proofpoint в августе 2023 года, в нем подробно описываются кампании, нацеленные на итальянские организации, которые использовали вредоносное ПО для окончательного развертывания троянца Ursnif (он же Gozi). Он был замечен в дикой природе в конце декабря 2022 года.
Вредоносное ПО является делом рук злоумышленника, известного как TA544, который также отслеживается как Bamboo Spider и Zeus Panda. IBM X-Force назвала кластер Hive0133.
Было замечено, что вредоносное ПО, активно поддерживаемое его операторами, включает в себя функции, которые делают приоритетным скрытность и позволяют ему противостоять попыткам анализа. Чтобы еще больше снизить шансы обнаружения, законные взломанные веб-сайты используются для первоначальной командно-контрольной связи (C2).
Более того, компоненты вредоносного ПО хранятся на хорошо известных платформах, таких как Discord. Еще одним примечательным изменением вредоносного ПО с середины 2023 года является использование для C2 MQTT, облегченного протокола обмена сообщениями для небольших датчиков и мобильных устройств.
Этот протокол является редкостью в мире угроз, и его используют лишь в нескольких случаях, как это наблюдалось в случае с Tizi и MQsTTang в прошлом.
Цепочки атак начинаются с электронных писем с PDF-вложениями, содержащими URL-адреса, при нажатии на которые загружается файл JavaScript, предназначенный для извлечения и запуска загрузчика WailingCrab, размещенного на Discord.
Загрузчик отвечает за запуск шеллкода следующего этапа, модуля инжектора, который, в свою очередь, запускает выполнение загрузчика для окончательного развертывания бэкдора.
"В предыдущих версиях этот компонент загружал бэкдор, который размещался в виде вложения на CDN Discord", - сказали исследователи.
"Однако последняя версия WailingCrab уже содержит компонент backdoor, зашифрованный с помощью AES, и вместо этого он обращается к своему C2, чтобы загрузить ключ дешифрования для расшифровки backdoor".
Бэкдор, который действует как ядро вредоносного ПО, предназначен для обеспечения сохраняемости на зараженном хосте и связи с сервером C2 по протоколу MQTT для получения дополнительных полезных данных.
Кроме того, более новые варианты бэкдора отказываются от пути загрузки на основе Discord в пользу полезной нагрузки на основе шеллкода непосредственно с C2 через MQTT.
"Переход WailingCrab на использование протокола MQTT представляет собой целенаправленные усилия по скрытности и уклонению от обнаружения", - заключили исследователи. "В более новых версиях WailingCrab также удаляются ссылки на Discord для получения полезных данных, что еще больше повышает его скрытность".
"Discord становится все более распространенным выбором для злоумышленников, желающих разместить вредоносное ПО, и поэтому вполне вероятно, что загрузка файлов с домена начнет подвергаться более тщательному контролю. Поэтому неудивительно, что разработчики WailingCrab выбрали альтернативный подход."
Злоупотребление сетью доставки контента Discord (CDN) для распространения вредоносного ПО не осталось незамеченным компанией социальных сетей, которая ранее в этом месяце сообщила Bleeping Computer, что к концу года перейдет на временные ссылки на файлы.
