Slevová nabídka pro více licencí
Databáze hrozeb Zadní vrátka Zadní vrátka MeowMew

Zadní vrátka MeowMew

V roce Mezo v roce Zadní vrátka, Pokročilá trvalá hrozba (APT)
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili dosud nezdokumentovanou rodinu malwaru s názvem MeowMeow, která byla nasazena v kybernetické kampani zaměřené na ukrajinské organizace. Operace demonstruje strukturovaný infekční řetězec a použití vícevrstvých klamavých technik k ohrožení systémů a udržení jejich trvalosti.

Na základě řady ukazatelů byla kampaň s mírnou jistotou připsána ruskému státem sponzorovanému aktérovi hrozby APT28. Toto hodnocení se opírá o vzorce cílení kampaně, geopolitická témata zakotvená v návnadách a technické podobnosti s dřívějšími ruskými kybernetickými operacemi.

Vstupní bod phishingu a počáteční mechanismus sledování

Útočná sekvence začíná pečlivě vytvořeným phishingovým e-mailem, který má vypadat důvěryhodně. Zpráva je odeslána z adresy spojené s ukr.net, což je taktika, která má pravděpodobně zvýšit důvěru mezi ukrajinskými příjemci.

V e-mailu se nachází odkaz, který údajně vede na ZIP archiv. Když oběť na odkaz klikne, prohlížeč soubor okamžitě nestáhne. Místo toho načte extrémně malý obrázek, který funguje jako sledovací pixel a útočníkům signalizuje, že odkaz byl otevřen. Po tomto potvrzovacím kroku je oběť přesměrována na jinou URL adresu, kde se škodlivý ZIP archiv nakonec stáhne.

Podvod prostřednictvím klamného vládního dokumentu

Jakmile je archiv rozbalen, infekční řetězec spustí soubor HTML aplikace (HTA). HTA současně provede dvě akce:

  • Zobrazuje lákací dokument napsaný v ukrajinštině týkající se odvolání proti překročení hranic.
  • Spouští další škodlivé procesy na pozadí.

Dokument funguje jako mechanismus sociálního inženýrství tím, že předkládá něco, co se jeví jako potvrzení o přijetí vládní výzvy týkající se postupů při překračování hranic. Tato pečlivě vytvořená narativová zpráva posiluje iluzi legitimity, zatímco škodlivá aktivita pokračuje neviditelně.

Obcházení sandboxu a validace systému

Před zahájením infekce malware provede kontroly, zda běží v kontrolovaném analytickém prostředí.

Analýza virtuálního počítače (HTA) se dotazuje klíče registru systému Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, aby odhadla, jak dlouho je operační systém nainstalován. Pokud je systém mladší než deset dní, což je běžná charakteristika sandboxových prostředí, malware ukončí své běh. Tento krok pomáhá útočníkům vyhnout se detekci automatizovanými systémy pro analýzu malwaru.

Mechanismy nasazení a perzistence datového zatížení

Pokud systém projde kontrolami prostředí, malware začne extrahovat další komponenty ze staženého ZIP archivu. Načte dva soubory: soubor VBScript a obrázek PNG obsahující skrytý kód. Tyto soubory se zapíší na disk pod novými názvy souborů.

Perzistence se dosahuje vytvořením naplánované úlohy, která automaticky spouští VBScript. Hlavním účelem skriptu je extrahovat škodlivý kód skrytý v souboru PNG. Toto vložené datové zatížení je obfuskovaný zavaděč .NET známý jako BadPaw, který poté zahájí komunikaci se vzdáleným serverem command-and-control.

BadPaw Loader a zadní vrátka MeowMeow

Zavaděč BadPaw slouží jako zprostředkující komponenta zodpovědná za stahování dalších malwarových modulů. Jeho hlavním cílem je načíst a nasadit spustitelný soubor s názvem MeowMeow, který slouží jako backdoor.

Aplikace MeowMeow obsahuje ve svém grafickém rozhraní neobvyklou funkci pro odvedení pozornosti. Po kliknutí na viditelné tlačítko „MeowMeow“ program jednoduše zobrazí zprávu s textem „Meow Meow Meow Meow“, aniž by prováděl žádnou škodlivou činnost. Toto chování slouží jako sekundární návnada, jejímž cílem je uvést analytiky v omyl během manuální kontroly.

Skutečná škodlivá funkce se spustí pouze za určitých podmínek. Spustitelný soubor musí být spuštěn s určitým parametrem (-v) zadaným během infekčního řetězce a musí potvrdit, že běží na skutečném koncovém bodě, nikoli v analytickém prostředí.

Ochrana proti analýze a provozní schopnosti

Před aktivací svých zadních vrátek malware kontroluje, zda jsou spuštěny bezpečnostní nebo forenzní monitorovací nástroje. Provádění se zastaví, pokud jsou detekovány aplikace jako Wireshark, Procmon, Ollydbg nebo Fiddler, což dále komplikuje analýzu.

Jakmile je aktivován, zadní vrátka MeowMeow poskytují útočníkům několik možností:

  • Vzdálené spouštění příkazů PowerShellu na napadeném hostiteli
  • Manipulace se souborovým systémem, včetně čtení, zápisu a mazání souborů

Tyto funkce umožňují útočníkům provádět následné operace, jako je sběr dat, laterální pohyb nebo další nasazení užitečného zatížení.

Ruskojazyčné artefakty v kódu malwaru

Během vyšetřování vědci objevili v zdrojovém kódu malwaru řetězce v ruštině, což posiluje jeho přiřazení rusky mluvícímu aktérovi hrozby.

Přítomnost těchto artefaktů může naznačovat jednu ze dvou možností. Útočníci se mohli dopustit bezpečnostního přehlédnutí tím, že se jim nepodařilo lokalizovat kód pro ukrajinské prostředí. Alternativně mohou řetězce představovat vývojové artefakty, které byly neúmyslně zanechány během procesu vytváření malwaru.

Bez ohledu na příčinu tyto jazykové indikátory přispívají k širšímu posouzení atribuce, která spojuje kampaň s ruskými kybernetickými operacemi.

Trendy

Nejvíce shlédnuto

Načítání...