عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد الأبواب الخلفية MeowMeow Backdoor

MeowMeow Backdoor

بواسطة Mezo في الأبواب الخلفية, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف باحثو الأمن السيبراني عن عائلة برمجيات خبيثة غير موثقة سابقاً تُدعى "مياو مياو"، تم استخدامها في حملة إلكترونية استهدفت منظمات أوكرانية. تُظهر هذه العملية سلسلة عدوى منظمة واستخدام تقنيات خداع متعددة الطبقات لاختراق الأنظمة والحفاظ على استمراريتها.

استنادًا إلى مؤشرات متعددة، نُسبت الحملة بدرجة متوسطة من الثقة إلى الجهة الفاعلة الروسية المدعومة من الدولة APT28. ويعتمد هذا التقييم على أنماط استهداف الحملة، والمواضيع الجيوسياسية المضمنة في الطُعم، والتشابهات التقنية مع عمليات إلكترونية روسية سابقة.

نقطة دخول التصيد الاحتيالي وآلية التتبع الأولية

تبدأ سلسلة الهجوم برسالة بريد إلكتروني مُصممة بعناية لتبدو موثوقة. تُرسل الرسالة من عنوان مرتبط بموقع ukr.net، وهو أسلوب يُرجح أنه يهدف إلى تعزيز ثقة المتلقين الأوكرانيين.

تحتوي الرسالة الإلكترونية على رابط يُزعم أنه يؤدي إلى ملف مضغوط (ZIP). عند النقر على الرابط، لا يقوم المتصفح بتحميل الملف فورًا، بل يُحمّل صورة صغيرة جدًا تعمل كبكسل تتبع، تُشير للمهاجمين إلى فتح الرابط. بعد هذه الخطوة التأكيدية، يُعاد توجيه الضحية إلى عنوان URL آخر حيث يتم تحميل الملف المضغوط الخبيث.

الخداع من خلال وثيقة حكومية زائفة

بمجرد استخراج الأرشيف، تقوم سلسلة العدوى بتشغيل ملف تطبيق HTML (HTA). يقوم ملف HTA بتنفيذ إجراءين في وقت واحد:

  • يعرض وثيقة إغراء مكتوبة باللغة الأوكرانية تتعلق بطلبات عبور الحدود.
  • يبدأ عمليات خبيثة إضافية في الخلفية.

تُستخدم الوثيقة كآلية للهندسة الاجتماعية، إذ تُقدّم ما يبدو أنه تأكيد استلام طلب استئناف حكومي يتعلق بإجراءات عبور الحدود. ويعزز هذا السرد المُصاغ بعناية وهم الشرعية، بينما تستمر الأنشطة الخبيثة في الخفاء.

التهرب من بيئة الاختبار المعزولة والتحقق من صحة النظام

قبل المضي قدماً في عملية الإصابة، يقوم البرنامج الضار بإجراء فحوصات لتحديد ما إذا كان يعمل في بيئة تحليل خاضعة للرقابة.

يستعلم برنامج HTA عن مفتاح سجل ويندوز HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate لتقدير مدة تثبيت نظام التشغيل. إذا كان عمر النظام أقل من عشرة أيام، وهي سمة شائعة في بيئات الاختبار المعزولة (Sandbox)، يتوقف البرنامج الخبيث عن العمل. تساعد هذه الخطوة المهاجمين على تجنب اكتشافهم بواسطة أنظمة تحليل البرامج الخبيثة الآلية.

آليات نشر الحمولة واستمراريتها

إذا اجتاز النظام فحوصات البيئة، يبدأ البرنامج الخبيث باستخراج مكونات إضافية من ملف ZIP الذي تم تنزيله. يتم استرجاع ملفين: ملف VBScript وصورة PNG تحتوي على شفرة مخفية. تُكتب هذه الملفات على القرص بأسماء ملفات جديدة.

يتم تحقيق الاستمرارية من خلال إنشاء مهمة مجدولة تُنفذ برنامج VBScript تلقائيًا. والهدف الأساسي من البرنامج النصي هو استخراج شيفرة خبيثة مُخفية داخل ملف PNG. هذه الشيفرة المُضمنة عبارة عن مُحمل .NET مُشفر يُعرف باسم BadPaw، والذي يبدأ بدوره الاتصال بخادم تحكم عن بُعد.

برنامج BadPaw Loader وباب MeowMeow الخلفي

يعمل برنامج BadPaw كعنصر وسيط مسؤول عن تنزيل وحدات برمجية خبيثة إضافية. هدفه الرئيسي هو استرداد ونشر ملف تنفيذي خلفي يُسمى MeowMeow.

يتضمن تطبيق MeowMeow ميزة تشتيت انتباه غير معتادة ضمن واجهته الرسومية. فعند النقر على زر "MeowMeow" الظاهر، يعرض البرنامج رسالة "Meow Meow Meow" فقط، دون القيام بأي نشاط ضار. يعمل هذا السلوك كتمويه ثانوي يهدف إلى تضليل المحللين أثناء الفحص اليدوي.

لا يتم تفعيل الوظيفة الخبيثة الفعلية إلا في ظروف محددة. يجب تشغيل الملف التنفيذي باستخدام مُعامل معين (-v) يتم توفيره أثناء سلسلة العدوى، ويجب أن يؤكد أنه يعمل على جهاز طرفي حقيقي وليس على بيئة تحليل.

الحماية من التحليل والقدرات التشغيلية

قبل تفعيل وظائف الباب الخلفي، يتحقق البرنامج الخبيث من تشغيل أدوات المراقبة الأمنية أو الجنائية الرقمية. ويتوقف التنفيذ في حال اكتشاف تطبيقات مثل Wireshark أو Procmon أو Ollydbg أو Fiddler، مما يزيد من تعقيد جهود التحليل.

بمجرد تفعيلها، توفر ثغرة MeowMeow الخلفية للمهاجمين العديد من القدرات:

  • تنفيذ أوامر PowerShell عن بُعد على الجهاز المضيف المخترق
  • التعامل مع نظام الملفات، بما في ذلك قراءة الملفات وكتابتها وحذفها

تتيح هذه الوظائف للمهاجمين تنفيذ عمليات لاحقة مثل جمع البيانات، أو الحركة الجانبية، أو نشر حمولات إضافية.

آثار اللغة الروسية في شفرة البرمجيات الخبيثة

خلال تحقيقهم، اكتشف الباحثون سلاسل نصية باللغة الروسية مضمنة في شفرة المصدر للبرمجيات الخبيثة، مما يعزز نسبة الهجوم إلى جهة تهديد ناطقة باللغة الروسية.

قد يشير وجود هذه الآثار إلى أحد احتمالين: إما أن يكون المهاجمون قد ارتكبوا خطأً أمنيًا تشغيليًا بعدم توطين الشفرة البرمجية للبيئة الأوكرانية، أو أن هذه السلاسل النصية قد تمثل آثارًا تطويرية تُركت سهوًا أثناء عملية إنشاء البرمجية الخبيثة.

بغض النظر عن السبب، فإن هذه المؤشرات اللغوية تساهم في التقييم الأوسع نطاقاً الذي يربط الحملة بالعمليات السيبرانية الروسية.

الشائع

برنامج SURXRAT الخبيث

البرامج الضارة للأجهزة المحمولة, أدوات الإدارة عن بعد
SURXRAT هو برنامج تجسس متطور للتحكم عن بُعد في أجهزة أندرويد، يُوزّع وفق نموذج البرمجيات الخبيثة كخدمة (MaaS) عبر منصة تعتمد على تطبيق تيليجرام. تشير تحليلات شفرة المصدر والتشابهات الوظيفية إلى أنه...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
22,467
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...