MeowMeow Backdoor
Изследователи по киберсигурност откриха недокументирано досега семейство зловреден софтуер, наречено MeowMeow, внедрено в киберкампания, насочена към украински организации. Операцията демонстрира структурирана верига на заразяване и използване на многопластови техники за измама за компрометиране на системи и поддържане на устойчивостта им.
Въз основа на множество показатели, кампанията е приписана с умерена увереност на спонсорирания от руската държава хакер APT28. Тази оценка се основава на моделите на насочване на кампанията, геополитическите теми, заложени в примамките, и техническите прилики с по-ранни руски кибероперации.
Съдържание
Входна точка за фишинг и начален механизъм за проследяване
Атаката започва с внимателно съставен фишинг имейл, предназначен да изглежда достоверен. Съобщението е изпратено от адрес, свързан с ukr.net, тактика, вероятно предназначена да увеличи доверието сред украинските получатели.
В имейла има линк, който твърди, че води към ZIP архив. Когато жертвата кликне върху линка, браузърът не изтегля файла веднага. Вместо това, той зарежда изключително малко изображение, което функционира като проследяващ пиксел, сигнализиращ на нападателите, че линкът е отворен. След тази стъпка на потвърждение, жертвата се пренасочва към друг URL адрес, където злонамереният ZIP архив най-накрая се изтегля.
Измама чрез примамлив правителствен документ
След като архивът бъде разархивиран, веригата за заразяване стартира HTML приложение (HTA) файл. HTA едновременно изпълнява две действия:
- Показва документ за примамка, написан на украински, свързан с обжалвания за преминаване на границата.
- Инициира допълнителни злонамерени процеси във фонов режим.
Документът действа като механизъм за социално инженерство, като представя нещо, което изглежда като потвърждение за получаване на правителствена жалба относно процедурите за преминаване на границата. Този внимателно изработен наратив подсилва илюзията за легитимност, докато злонамерената дейност продължава невидимо.
Избягване на пясъчник и валидиране на системата
Преди да продължи с процеса на заразяване, зловредният софтуер извършва проверки, за да определи дали работи в контролирана среда за анализ.
HTA проверява ключа в системния регистър на Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, за да оцени от колко време е инсталирана операционната система. Ако системата е на по-малко от десет дни, което е често срещана характеристика на пясъчните среди, зловредният софтуер прекратява изпълнението си. Тази стъпка помага на нападателите да избегнат откриването им от автоматизирани системи за анализ на злонамерен софтуер.
Механизми за разполагане и запазване на полезния товар
Ако системата премине проверките на средата, зловредният софтуер продължава с извличането на допълнителни компоненти от изтегления ZIP архив. Извличат се два файла: VBScript файл и PNG изображение, съдържащо скрит код. Тези файлове се записват на диска под нови имена.
Устойчивостта се постига чрез създаване на планирана задача, която автоматично изпълнява VBScript. Основната цел на скрипта е да извлече зловреден код, скрит в PNG файла. Този вграден полезен товар е обфускиран .NET зареждащ файл, известен като BadPaw, който след това инициира комуникация с отдалечен сървър за командни и контролни операции.
BadPaw Loader и задната вратичка MeowMeow
Зареждащият файл BadPaw служи като междинен компонент, отговорен за изтеглянето на допълнителни модули за зловреден софтуер. Основната му цел е да извлече и внедри изпълним файл с име MeowMeow.
Приложението MeowMeow включва необичайна функция за разсейване в графичния си интерфейс. Когато се щракне върху видимия бутон „MeowMeow“, програмата просто показва съобщение с текст „Meow Meow Meow“, без да извършва злонамерена дейност. Това поведение действа като вторична примамка, предназначена да подведе анализаторите по време на ръчна проверка.
Действителната злонамерена функционалност се задейства само при определени условия. Изпълнимият файл трябва да бъде стартиран с определен параметър (-v), предоставен по време на веригата на заразяване, и трябва да потвърди, че се изпълнява на реална крайна точка, а не в среда за анализ.
Защита срещу анализ и оперативни възможности
Преди да активира възможностите си за задна врата, зловредният софтуер проверява дали работят инструменти за сигурност или криминалистичен мониторинг. Изпълнението се спира, ако бъдат открити приложения като Wireshark, Procmon, Ollydbg или Fiddler, което допълнително усложнява усилията за анализ.
След като бъде активирана, задната вратичка MeowMeow предоставя на атакуващите няколко възможности:
- Дистанционно изпълнение на PowerShell команди на компрометирания хост
- Манипулация с файловата система, включително четене, запис и изтриване на файлове
Тези функции позволяват на нападателите да извършват последващи операции, като събиране на данни, странично движение или по-нататъшно разполагане на полезен товар.
Рускоезични артефакти в кода на зловредния софтуер
По време на разследването си, изследователите откриха рускоезични низове, вградени в изходния код на зловредния софтуер, което засилва атрибуцията му към рускоезичен злонамерен персонаж.
Наличието на тези артефакти може да показва една от две възможности. Нападателите може да са допуснали пропуск в оперативната сигурност, като не са локализирали кода за украинската среда. Алтернативно, низовете може да представляват артефакти за разработка, неволно оставени по време на процеса на създаване на зловредния софтуер.
Независимо от причината, тези езикови индикатори допринасят за по-широката оценка на атрибуцията, свързваща кампанията с руски кибероперации.
