WailingCrab
Az IBM X-Force kutatói nyomon követik a WailingCrab kártevőcsalád fejlődését, különösen a C2 kommunikációs mechanizmusokkal kapcsolatos fejleményeket, amelyek közé tartozik az Internet-of-Things (IoT) MQTT üzenetküldő protokolljának kihasználása.
A WikiLoader néven is ismert WailingCrab egy kifinomult, több komponensből álló rosszindulatú szoftver, amelyet szinte kizárólag egy kezdeti hozzáférési bróker szállít, amelyet az X-Force Hive0133 néven követ nyomon, és amely átfedésben van a TA544 APT csoporttal (Bamboo Spider, Zeus Panda). A WailingCrab-ot először 2022 decemberében figyelték meg, és azóta széles körben használják e-mail kampányokban a Gozi hátsó ajtó eljuttatására, gyakran olasz célpontok ellen. Az elmúlt hónapokban a Hive0133 Olaszországon kívüli szervezeteket is megcélzott a WailingCrabot szállító e-mail kampányokkal, gyakran olyan témákat használva, mint a késedelmes szállítás vagy a szállítási számlák.
A kártevő szerzői a WailingCrab kártevő folyamatos fejlesztése során a lopakodási és elemzést gátló technikákra összpontosítottak. Maga a kártevő több összetevőre oszlik, beleértve a betöltőt, az injektort, a letöltőt és a hátsó ajtót, és a C2 által ellenőrzött szerverekre irányuló sikeres kérések gyakran szükségesek a következő szakasz lekérdezéséhez. A kezdeti C2 kommunikációhoz legális, feltört webhelyeket használnak, hogy csökkentsék a hálózati észlelés esélyét, a hasznos terhelést pedig gyakran jól ismert platformokon, például a Discordon tárolják. A C2-kiszolgálókat gyakran gyorsan lekapcsolják, vagy a kampányt követően hamarosan nem válaszolnak, ami megakadályozhatja, hogy a fenyegetéskutatók hozzáférjenek hozzájuk és lekérjék a rosszindulatú szoftver következő szakaszait.