Uyarı: Gönderi temalı e-postalar yoluyla yayılan yeni WailingCrab kötü amaçlı yazılım yükleyicisi

IBM X-Force araştırmacıları Charlotte Hammond, Ole Villadsen ve Kat Metrick, "Kötü amaçlı yazılımın kendisi, bir yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere birden çok bileşene bölünmüştür ve bir sonraki aşamayı almak için genellikle C2 kontrollü sunuculara yapılan başarılı istekler gereklidir" dedi.

WikiLoader olarak da adlandırılan WailingCrab, ilk olarak Ağustos 2023'te Proofpoint tarafından belgelendi ve kötü amaçlı yazılımı nihayetinde Ursnif (diğer adıyla Gozi) truva atını dağıtmak için kullanan İtalyan kuruluşlarını hedef alan kampanyaları detaylandırdı. Aralık 2022'nin sonlarında vahşi doğada görüldü.

Kötü amaçlı yazılım, Bamboo Spider ve Zeus Panda olarak da izlenen TA544 olarak bilinen bir tehdit aktörünün eseridir. IBM X-Force, kümeyi Hive0133 olarak adlandırdı.

Operatörleri tarafından aktif olarak sürdürülen kötü amaçlı yazılımın, gizliliğe öncelik veren ve analiz çabalarına direnmesine izin veren özellikler içerdiği gözlemlendi. Tespit edilme olasılığını daha da azaltmak için, yasal, saldırıya uğramış web siteleri ilk komut ve kontrol (C2) iletişimleri için kullanılır.

Dahası, kötü amaçlı yazılımın bileşenleri Discord gibi iyi bilinen platformlarda saklanır. 2023'ün ortalarından bu yana kötü amaçlı yazılımda dikkate değer bir diğer değişiklik, C2 için küçük sensörler ve mobil cihazlar için hafif bir mesajlaşma protokolü olan MQTT'nin kullanılmasıdır.

Protokol, geçmişte Tizi ve MQsTTang örneğinde gözlemlendiği gibi, yalnızca birkaç durumda kullanıldığı için tehdit ortamında nadir görülen bir şeydir.

Saldırı zincirleri, tıklandığında Discord'da barındırılan WailingCrab yükleyicisini almak ve başlatmak için tasarlanmış bir JavaScript dosyası indiren URL'leri içeren PDF ekleri taşıyan e-postalarla başlar.

Yükleyici, bir enjektör modülü olan bir sonraki aşama kabuk kodunu başlatmaktan sorumludur ve bu da nihayetinde arka kapıyı dağıtmak için bir indiricinin yürütülmesini başlatır.

Araştırmacılar, "Önceki sürümlerde, bu bileşen Discord CDN'de bir ek olarak barındırılacak olan arka kapıyı indirecekti" dedi.

"Ancak, WailingCrab'ın en son sürümü zaten AES ile şifrelenmiş arka kapı bileşenini içeriyor ve bunun yerine arka kapının şifresini çözmek için bir şifre çözme anahtarı indirmek için C2'ye ulaşıyor."

Kötü amaçlı yazılımın çekirdeği olarak işlev gören arka kapı, virüslü ana bilgisayarda kalıcılık sağlamak ve ek yükler almak için MQTT protokolünü kullanarak C2 sunucusuyla iletişim kurmak için tasarlanmıştır.

Bunun da ötesinde, arka kapının daha yeni varyantları, MQTT aracılığıyla doğrudan C2'den shellcode tabanlı bir yük lehine Discord tabanlı bir indirme yolundan kaçınır.

Araştırmacılar, "WailingCrab tarafından MQTT protokolünü kullanma hareketi, gizlilik ve tespitten kaçınmaya odaklanmış bir çabayı temsil ediyor" dedi. "WailingCrab'ın daha yeni varyantları, yükleri almak için Discord'a yapılan çağrıları da kaldırarak gizliliğini daha da artırıyor."

"Discord, kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri için giderek daha yaygın bir seçim haline geldi ve bu nedenle, etki alanından dosya indirmelerinin daha yüksek düzeyde incelemeye tabi tutulmaya başlaması muhtemeldir. Bu nedenle, WailingCrab'ın geliştiricilerinin alternatif bir yaklaşıma karar vermesi şaşırtıcı değil."

Discord'un içerik dağıtım ağının (CDN) kötü amaçlı yazılım dağıtmak için kötüye kullanılması, bu ayın başlarında Bleeping Computer'a yıl sonuna kadar geçici dosya bağlantılarına geçeceğini söyleyen sosyal medya şirketi tarafından fark edilmedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği