- 9,316
- 18
- 8 Ноя 2022
История о том, как одно электронное письмо раскрывает шпионам всю вашу цифровую жизнь.
IBM X-Force выявила новый загрузчик вредоносного ПО, получивший название WailingCrab (WikiLoader). Для просмотра ссылки Войдиили Зарегистрируйся 2023 года, вирус использовался для атак на итальянские организации с целью развертывания трояна Ursnif. За создание вредоносного ПО стоит хакерская группа TA544 (Bamboo Spider, Zeus Panda). IBM X-Force назвала эту группировку Hive0133.
Операторы WailingCrab постоянно обновляют вредоносное ПО, добавляя функции, обеспечивающие скрытность и затрудняющие анализ. Для снижения шансов обнаружения используются взломанные легитимные веб-сайты для первоначальной связи с сервером управления и контроля (Command and Control, C2 ). Также компоненты вредоносного ПО размещаются на Discord . С середины 2023 года в WailingCrab для связи с C2-сервером используется протокол обмена сообщениями MQTT, что является редкостью в мире киберугроз.
WailingCrab состоит из нескольких компонентов: загрузчика, инжектора, загрузчика и бэкдора. Атаки начинаются с электронных писем с PDF -вложениями, содержащими URL-адреса, при нажатии на которые загружается JavaScript -файл, запускающий загрузчик WailingCrab, размещенный на Discord. Загрузчик отвечает за запуск следующего этапа – модуля инжектора, который в свою очередь запускает загрузчик для развертывания бэкдора.
Бэкдор, являющийся основным компонентом вредоносного ПО, предназначен для обеспечения постоянства на зараженном устройстве и связи с C2-сервером с использованием протокола MQTT для получения дополнительных полезных нагрузок. В IBM отметили, что переход WailingCrab с Discord на использование протокола MQTT свидетельствует о сосредоточении усилий на скрытности и уклонении от обнаружения. Кроме того, новые варианты WailingCrab исключают вызовы к Discord для получения полезных нагрузок, что еще больше увеличивает его скрытность.
Discord, ставший популярным выбором для хакеров, Для просмотра ссылки Войдиили Зарегистрируйся к концу года, чтобы противостоять злоупотреблениям своей сетью доставки контента (Content Delivery Network, CDN ) для распространения вредоносного ПО.
IBM X-Force выявила новый загрузчик вредоносного ПО, получивший название WailingCrab (WikiLoader). Для просмотра ссылки Войди
Операторы WailingCrab постоянно обновляют вредоносное ПО, добавляя функции, обеспечивающие скрытность и затрудняющие анализ. Для снижения шансов обнаружения используются взломанные легитимные веб-сайты для первоначальной связи с сервером управления и контроля (Command and Control, C2 ). Также компоненты вредоносного ПО размещаются на Discord . С середины 2023 года в WailingCrab для связи с C2-сервером используется протокол обмена сообщениями MQTT, что является редкостью в мире киберугроз.
WailingCrab состоит из нескольких компонентов: загрузчика, инжектора, загрузчика и бэкдора. Атаки начинаются с электронных писем с PDF -вложениями, содержащими URL-адреса, при нажатии на которые загружается JavaScript -файл, запускающий загрузчик WailingCrab, размещенный на Discord. Загрузчик отвечает за запуск следующего этапа – модуля инжектора, который в свою очередь запускает загрузчик для развертывания бэкдора.
Бэкдор, являющийся основным компонентом вредоносного ПО, предназначен для обеспечения постоянства на зараженном устройстве и связи с C2-сервером с использованием протокола MQTT для получения дополнительных полезных нагрузок. В IBM отметили, что переход WailingCrab с Discord на использование протокола MQTT свидетельствует о сосредоточении усилий на скрытности и уклонении от обнаружения. Кроме того, новые варианты WailingCrab исключают вызовы к Discord для получения полезных нагрузок, что еще больше увеличивает его скрытность.
Discord, ставший популярным выбором для хакеров, Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
