TA544 威胁行动的最新动态

重点信息总结

TA544 威胁行动亦称为 Zeus Panda 和 Bamboo Spider正在不断更新其高级恶意软件加载器 WailingCrab也叫 WikiLoader。新版本的 WailingCrab 通过运输主题电子邮件进行攻击，并嵌入了用于命令与控制通信的 AES 加密后门。使用 MQTT 协议进行 C2 通信以获取有效载荷，避免使用 Discord 作为下载路径以降低被检测的风险。

近期，TA544 威胁行动，常被称为 Zeus Panda 和 Bamboo Spider，针对其高级恶意软件加载器 WailingCrab也称为 WikiLoader进行了持续的更新，目的是增强其在攻击中的隐蔽性。《黑客新闻》报告指出，这些攻击主要通过以运输为主题的电子邮件来实现。此外，根据 IBM XForce 报告，新版 WailingCrab 恶意软件被嵌入了一个 AES 加密的后门，不再通过恶意下载组件来部署后门，像之前的版本那样。这种后门使用 MQTT 协议来实现 C2 通信和进一步的有效负载检索，而不是依赖于基于 Discord 的下载路径来避免被检测。

“Discord 逐渐成为威胁行为者托管恶意软件的常见选择，因此，从该域下载的文件将可能面临更高的审查水平。因此，WailingCrab 的开发者选择替代方法也就不足为奇了，”研究人员表示。