Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

Protokol, geçmişte Tizi ve MQsTTang vakasında görüldüğü gibi, yalnızca birkaç durumda kullanıldığı için tehdit ortamında nadir görülen bir şeydir

Kötü amaçlı yazılım, Bambu Örümceği ve Zeus Panda olarak da takip edilen TA544 olarak bilinen bir tehdit aktörünün eseridir AğlayanYengeç 2023’ün ortasından bu yana kötü amaçlı yazılımda yapılan bir diğer dikkate değer değişiklik, MQTTC2 için küçük sensörler ve mobil cihazlara yönelik hafif bir mesajlaşma protokolü

Operatörleri tarafından aktif olarak bakımı yapılan kötü amaçlı yazılımın, gizliliği ön planda tutan ve analiz çabalarına direnmesine olanak tanıyan özellikler içerdiği gözlemlendi

WikiLoader olarak da adlandırılan WailingCrab, ilk olarak Ağustos 2023’te Proofpoint tarafından belgelendi ve sonuçta Ursnif (diğer adıyla Gozi) truva atını dağıtmak için kötü amaçlı yazılım kullanan İtalyan kuruluşlarını hedef alan kampanyaların ayrıntıları verildi “WailingCrab’in daha yeni çeşitleri aynı zamanda yüklerin alınması için Discord’a yapılan çağrıları da kaldırarak gizliliğini daha da artırıyor

Üstelik, arka kapının daha yeni varyantları, Discord tabanlı indirme yolundan kaçınarak, MQTT aracılığıyla doğrudan C2’den gelen kabuk kodu tabanlı bir veri yükünü tercih ediyor

IBM X-Force araştırmacıları Charlotte Hammond, Ole Villadsen ve “Kötü amaçlı yazılımın kendisi bir yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere birçok bileşene bölünmüş durumda ve C2 kontrollü sunuculara yapılan başarılı istekler genellikle bir sonraki aşamaya geçmek için gerekli Aralık 2022’nin sonlarında vahşi doğada görüldü ” Kat Metrick söz konusu ”

Discord’un içerik dağıtım ağının (CDN) kötü amaçlı yazılım dağıtmak amacıyla kötüye kullanılması, sosyal medya şirketinin dikkatinden kaçmadı

Araştırmacılar, “Önceki sürümlerde bu bileşen, Discord CDN’sinde ek olarak barındırılacak olan arka kapıyı indiriyordu” dedi

“Ancak, WailingCrab’in en son sürümü zaten AES ile şifrelenmiş arka kapı bileşenini içeriyor ve bunun yerine arka kapının şifresini çözmek için bir şifre çözme anahtarı indirmek üzere C2’sine ulaşıyor

Araştırmacılar, “WailingCrab’in MQTT protokolünü kullanmaya başlaması, gizlilik ve tespitten kaçınmaya odaklanmış bir çabayı temsil ediyor” sonucuna vardı

Yükleyici, bir sonraki aşamadaki kabuk kodunun (enjektör modülü) başlatılmasından sorumludur ve bu modül, sonuçta arka kapıyı dağıtmak için indiricinin yürütülmesini başlatır alternatif bir yaklaşım ”

Kötü amaçlı yazılımın çekirdeği görevi gören arka kapı, virüslü ana bilgisayarda kalıcılık oluşturmak ve ek yükler almak için MQTT protokolünü kullanarak C2 sunucusuyla iletişim kurmak için tasarlanmıştır ”

“Discord, kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri için giderek daha yaygın bir tercih haline geldi ve bu nedenle, alan adından indirilen dosyaların daha yüksek düzeyde incelemeye tabi tutulması muhtemeldir Bu nedenle, WailingCrab geliştiricilerinin bu kararı vermesi şaşırtıcı değil

Dahası, kötü amaçlı yazılımın bileşenleri Discord gibi iyi bilinen platformlarda depolanıyor Tespit şansını daha da azaltmak amacıyla, ilk komuta ve kontrol (C2) iletişimleri için meşru, saldırıya uğramış web siteleri kullanılır

Saldırı zincirleri, tıklandığında Discord’da barındırılan WailingCrab yükleyicisini almak ve başlatmak için tasarlanmış bir JavaScript dosyasını indiren URL’ler içeren PDF ekleri içeren e-postalarla başlıyor IBM X-Force, kümeye Hive0133 adını verdi



siber-2

söylenmiş Bleeping Computer bu ayın başlarında yıl sonuna kadar geçici dosya bağlantılarına geçeceğini söyledi


23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Tehdit Analizi

Teslimat ve gönderim temalı e-posta mesajları, gelişmiş bir kötü amaçlı yazılım yükleyicisi sunmak için kullanılıyor