WailingCrab マルウェア

Infosec の研究者らは、配信と配送をテーマにした電子メールが、WailingCrab と呼ばれる高度なマルウェア ローダーを配布する手段として使用されていると警告しています。このマルウェアは、ローダー、インジェクター、ダウンローダー、バックドアなどのいくつかのコンポーネントで構成されています。マルウェアの後続段階をフェッチするには、コマンド アンド コントロール (C2、C&C) サーバーとの正常な通信が必要になることがよくあります。

脅威アクターは WailingCrab マルウェアを積極的に開発しています

研究者は、イタリアの組織に対する攻撃キャンペーンへの関与を明らかにした後、2023 年 8 月に WailingCrab を最初に特定しました。このマルウェアは、 Ursnifトロイの木馬 (Gozi としても知られる) を展開する経路として機能しました。 WailingCrab の背後にある黒幕は、Bamboo Spider や Zeus Panda としても知られる脅威アクター TA544 です。

このマルウェアはオペレーターによって継続的に保守されており、ステルス用に設計された機能を備えているため、分析作業をより効果的に阻止できます。秘密の性質を強化するために、マルウェアは正規の、ただし侵害された Web サイトを介して C2 通信を開始します。

さらに、マルウェアのコンポーネントは、Discord などの広く使用されているプラットフォームに保存されています。特に、2023 年半ば以降のマルウェアの動作の大幅な変更には、C2 通信に小型センサーやモバイル デバイス向けの軽量メッセージング プロトコルである MQTT の採用が含まれています。このプロトコルは脅威の分野では比較的珍しいものであり、以前に Tizi や MQsTTang などのケースで観察されたように、使用例はわずかです。

WailingCrab マルウェア配信の攻撃チェーン

一連の攻撃は、URL を含む PDF 添付ファイルを含む電子メールから始まります。これらの URL をクリックすると、Discord でホストされている WailingCrab ローダーを取得して実行するように設計された JavaScript ファイルのダウンロードがトリガーされます。

ローダーの役割は、後続のステージを開始し、インジェクター モジュールとして機能するシェルコードを起動することです。これにより、究極のバックドアの展開を担うダウンローダーの実行がトリガーされます。以前のイテレーションでは、このコンポーネントはバックドアを直接ダウンロードし、Discord CDN 上の添付ファイルとしてホストされていました。

WailingCrab の最新バージョンは、バックドア コンポーネントを AES で暗号化します。バックドアをダウンロードする代わりに、C2 サーバーにアクセスしてバックドアを復号化するための復号キーを取得します。バックドアはマルウェアの中核として機能し、感染したホスト上で永続性を確立し、MQTT プロトコル経由で C2 サーバーと通信して追加のペイロードを受信します。

さらに、バックドアの最新の亜種は、Discord ベースのダウンロード パスを放棄し、MQTT を介して C2 から直接シェルコード ベースのペイロードを使用します。 WailingCrab による MQTT プロトコルの使用への移行は、ステルス性の強化と検出の回避に意図的に焦点を当てていることを意味します。 WailingCrab の新しいバージョンでは、ペイロードの取得における Discord への依存が排除され、ステルス機能がさらに強化されています。