Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri
AğlayanYengeç “WailingCrab’in daha yeni çeşitleri aynı zamanda yüklerin alınması için Discord’a yapılan çağrıları da kaldırarak gizliliğini daha da artırıyor

IBM X-Force araştırmacıları Charlotte Hammond, Ole Villadsen ve “Kötü amaçlı yazılımın kendisi bir yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere birçok bileşene bölünmüş durumda ve C2 kontrollü sunuculara yapılan başarılı istekler genellikle bir sonraki aşamaya geçmek için gerekli IBM X-Force, kümeye Hive0133 adını verdi

“Ancak, WailingCrab’in en son sürümü zaten AES ile şifrelenmiş arka kapı bileşenini içeriyor ve bunun yerine arka kapının şifresini çözmek için bir şifre çözme anahtarı indirmek üzere C2’sine ulaşıyor Bu nedenle, WailingCrab geliştiricilerinin bu kararı vermesi şaşırtıcı değil söylenmiş Bleeping Computer bu ayın başlarında yıl sonuna kadar geçici dosya bağlantılarına geçeceğini söyledi alternatif bir yaklaşım

Saldırı zincirleri, tıklandığında Discord’da barındırılan WailingCrab yükleyicisini almak ve başlatmak için tasarlanmış bir JavaScript dosyasını indiren URL’ler içeren PDF ekleri içeren e-postalarla başlıyor

Araştırmacılar, “Önceki sürümlerde bu bileşen, Discord CDN’sinde ek olarak barındırılacak olan arka kapıyı indiriyordu” dedi ”

Discord’un içerik dağıtım ağının (CDN) kötü amaçlı yazılım dağıtmak amacıyla kötüye kullanılması, sosyal medya şirketinin dikkatinden kaçmadı ”

“Discord, kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri için giderek daha yaygın bir tercih haline geldi ve bu nedenle, alan adından indirilen dosyaların daha yüksek düzeyde incelemeye tabi tutulması muhtemeldir

Araştırmacılar, “WailingCrab’in MQTT protokolünü kullanmaya başlaması, gizlilik ve tespitten kaçınmaya odaklanmış bir çabayı temsil ediyor” sonucuna vardı

Üstelik, arka kapının daha yeni varyantları, Discord tabanlı indirme yolundan kaçınarak, MQTT aracılığıyla doğrudan C2’den gelen kabuk kodu tabanlı bir veri yükünü tercih ediyor ”

Kötü amaçlı yazılımın çekirdeği görevi gören arka kapı, virüslü ana bilgisayarda kalıcılık oluşturmak ve ek yükler almak için MQTT protokolünü kullanarak C2 sunucusuyla iletişim kurmak için tasarlanmıştır

Protokol, geçmişte Tizi ve MQsTTang vakasında görüldüğü gibi, yalnızca birkaç durumda kullanıldığı için tehdit ortamında nadir görülen bir şeydir 2023’ün ortasından bu yana kötü amaçlı yazılımda yapılan bir diğer dikkate değer değişiklik, MQTTC2 için küçük sensörler ve mobil cihazlara yönelik hafif bir mesajlaşma protokolü Aralık 2022’nin sonlarında vahşi doğada görüldü

WikiLoader olarak da adlandırılan WailingCrab, ilk olarak Ağustos 2023’te Proofpoint tarafından belgelendi ve sonuçta Ursnif (diğer adıyla Gozi) truva atını dağıtmak için kötü amaçlı yazılım kullanan İtalyan kuruluşlarını hedef alan kampanyaların ayrıntıları verildi


23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Tehdit Analizi

Teslimat ve gönderim temalı e-posta mesajları, gelişmiş bir kötü amaçlı yazılım yükleyicisi sunmak için kullanılıyor

Kötü amaçlı yazılım, Bambu Örümceği ve Zeus Panda olarak da takip edilen TA544 olarak bilinen bir tehdit aktörünün eseridir ” Kat Metrick söz konusu Tespit şansını daha da azaltmak amacıyla, ilk komuta ve kontrol (C2) iletişimleri için meşru, saldırıya uğramış web siteleri kullanılır

Yükleyici, bir sonraki aşamadaki kabuk kodunun (enjektör modülü) başlatılmasından sorumludur ve bu modül, sonuçta arka kapıyı dağıtmak için indiricinin yürütülmesini başlatır

Operatörleri tarafından aktif olarak bakımı yapılan kötü amaçlı yazılımın, gizliliği ön planda tutan ve analiz çabalarına direnmesine olanak tanıyan özellikler içerdiği gözlemlendi

Dahası, kötü amaçlı yazılımın bileşenleri Discord gibi iyi bilinen platformlarda depolanıyor



siber-2