Porta del darrere MeowMeow
Investigadors de ciberseguretat han descobert una família de programari maliciós no documentada prèviament anomenada MeowMeow, desplegada en una campanya cibernètica dirigida a organitzacions ucraïneses. L'operació demostra una cadena d'infecció estructurada i l'ús de tècniques d'engany per capes per comprometre els sistemes i mantenir la persistència.
Basant-se en múltiples indicadors, la campanya s'ha atribuït amb una confiança moderada a l'actor d'amenaces patrocinat per l'estat rus APT28. Aquesta avaluació es basa en els patrons d'orientació de la campanya, els temes geopolítics integrats en els esquers i les similituds tècniques amb operacions cibernètiques russes anteriors.
Taula de continguts
Punt d’entrada de phishing i mecanisme de seguiment inicial
La seqüència d'atac comença amb un correu electrònic de suplantació d'identitat (phishing) acuradament elaborat i dissenyat per semblar creïble. El missatge s'envia des d'una adreça associada amb ukr.net, una tàctica probablement destinada a augmentar la confiança entre els destinataris ucraïnesos.
Dins del correu electrònic hi ha un enllaç que afirma que porta a un arxiu ZIP. Quan la víctima fa clic a l'enllaç, el navegador no descarrega immediatament el fitxer. En canvi, carrega una imatge extremadament petita que funciona com a píxel de seguiment, indicant als atacants que l'enllaç s'ha obert. Després d'aquest pas de confirmació, la víctima és redirigida a una altra URL on finalment es descarrega l'arxiu ZIP maliciós.
Engany mitjançant un document governamental esquer
Un cop extret l'arxiu, la cadena d'infecció inicia un fitxer d'aplicació HTML (HTA). L'HTA realitza dues accions simultàniament:
- Mostra un document d'esquer escrit en ucraïnès relacionat amb les apel·lacions per creuar fronteres.
- Inicia processos maliciosos addicionals en segon pla.
El document actua com un mecanisme d'enginyeria social presentant el que sembla ser una confirmació de recepció d'una apel·lació governamental sobre els procediments de pas fronterer. Aquesta narrativa acuradament elaborada reforça la il·lusió de legitimitat mentre que l'activitat maliciosa continua sense ser vista.
Evasió de Sandbox i Validació del Sistema
Abans de continuar amb el procés d'infecció, el programari maliciós realitza comprovacions per determinar si s'està executant en un entorn d'anàlisi controlat.
L'HTA consulta la clau del registre de Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate per estimar quant de temps fa que el sistema operatiu està instal·lat. Si el sistema té menys de deu dies, una característica comuna dels entorns de sandbox, el programari maliciós finalitza l'execució. Aquest pas ajuda els atacants a evitar la detecció per part de sistemes automatitzats d'anàlisi de programari maliciós.
Desplegament de càrrega útil i mecanismes de persistència
Si el sistema supera les comprovacions d'entorn, el programari maliciós procedeix a extreure components addicionals de l'arxiu ZIP descarregat. Es recuperen dos fitxers: un fitxer VBScript i una imatge PNG que conté codi ocult. Aquests fitxers s'escriuen al disc amb noms de fitxer nous.
La persistència s'aconsegueix creant una tasca programada que executa automàticament el VBScript. L'objectiu principal de l'script és extreure codi maliciós amagat dins del fitxer PNG. Aquesta càrrega útil incrustada és un carregador .NET ofuscat conegut com a BadPaw, que inicia la comunicació amb un servidor de comandament i control remot.
Carregador de BadPaw i la porta del darrere MeowMeow
El carregador BadPaw serveix com a component intermediari responsable de descarregar mòduls addicionals de programari maliciós. El seu objectiu principal és recuperar i desplegar un executable de porta del darrere anomenat MeowMeow.
L'aplicació MeowMeow inclou una funció de distracció inusual dins de la seva interfície gràfica. Quan es fa clic al botó visible "MeowMeow", el programa simplement mostra un missatge que diu "Meow Meow Meow", sense realitzar cap activitat maliciosa. Aquest comportament actua com un esquer secundari destinat a enganyar els analistes durant la inspecció manual.
La funcionalitat maliciosa real només s'activa sota condicions específiques. L'executable s'ha d'iniciar amb un paràmetre concret (-v) subministrat durant la cadena d'infecció i ha de confirmar que s'està executant en un punt final real en lloc d'un entorn d'anàlisi.
Proteccions antianàlisi i capacitats operatives
Abans d'activar les seves capacitats de porta del darrere, el programari maliciós comprova si s'estan executant eines de seguretat o de monitorització forense. L'execució s'atura si es detecten aplicacions com ara Wireshark, Procmon, Ollydbg o Fiddler, cosa que complica encara més els esforços d'anàlisi.
Un cop activada, la porta del darrere MeowMeow ofereix als atacants diverses capacitats:
- Execució remota d'ordres de PowerShell a l'amfitrió compromès
- Manipulació del sistema de fitxers, incloent-hi la lectura, l'escriptura i l'eliminació de fitxers
Aquestes funcions permeten als atacants dur a terme operacions posteriors com ara la recopilació de dades, el moviment lateral o el desplegament de càrrega útil addicional.
Artefactes en rus al codi de programari maliciós
Durant la seva investigació, els investigadors van descobrir cadenes de text en rus incrustades dins del codi font del programari maliciós, cosa que reforça l'atribució a un actor d'amenaces de parla russa.
La presència d'aquests artefactes pot indicar una de dues possibilitats. Els atacants poden haver comès una errada de seguretat operativa en no localitzar el codi per a l'entorn ucraïnès. Alternativament, les cadenes poden representar artefactes de desenvolupament que s'han deixat enrere involuntàriament durant el procés de creació del programari maliciós.
Independentment de la causa, aquests indicadors lingüístics contribueixen a l'avaluació d'atribució més àmplia que vincula la campanya amb les operacions cibernètiques russes.
