Rabattilbud med flere licenser
Trusseldatabase Bagdøre MeowMeow Bagdør

MeowMeow Bagdør

Med Mezo i Bagdøre, Advanced Persistent Threat (APT)
Oversæt til:

Cybersikkerhedsforskere har afdækket en tidligere udokumenteret malwarefamilie ved navn MeowMeow, der blev anvendt i en cyberkampagne rettet mod ukrainske organisationer. Operationen demonstrerer en struktureret infektionskæde og brugen af lagdelte bedragsteknikker til at kompromittere systemer og opretholde deres persistens.

Baseret på flere indikatorer er kampagnen med moderat sikkerhed blevet tilskrevet den russisk-statssponsorerede trusselsaktør APT28. Denne vurdering er baseret på kampagnens målretningsmønstre, geopolitiske temaer indlejret i lokkemidlerne og tekniske ligheder med tidligere russiske cyberoperationer.

Phishing-indgangspunkt og indledende sporingsmekanisme

Angrebssekvensen begynder med en omhyggeligt udformet phishing-e-mail, der er designet til at virke troværdig. Beskeden sendes fra en adresse tilknyttet ukr.net, en taktik, der sandsynligvis har til formål at øge tilliden blandt ukrainske modtagere.

I e-mailen er der et link, der hævder at føre til et ZIP-arkiv. Når offeret klikker på linket, downloader browseren ikke filen med det samme. I stedet indlæser den et ekstremt lille billede, der fungerer som en sporingspixel og signalerer til angriberne, at linket er blevet åbnet. Efter dette bekræftelsestrin omdirigeres offeret til en anden URL, hvor det ondsindede ZIP-arkiv endelig downloades.

Bedrag gennem et lokkedue-regeringsdokument

Når arkivet er udpakket, starter infektionskæden en HTML-applikationsfil (HTA). HTA'en udfører to handlinger samtidigt:

  • Viser et lokkedokument skrevet på ukrainsk relateret til grænseklager.
  • Starter yderligere ondsindede processer i baggrunden.

Dokumentet fungerer som en social manipulationsmekanisme ved at præsentere, hvad der tilsyneladende er en bekræftelse på modtagelsen af en regeringsappel vedrørende grænseovergangsprocedurer. Denne omhyggeligt udformede fortælling forstærker illusionen af legitimitet, mens ondsindet aktivitet fortsætter usynligt.

Sandkasseundgåelse og systemvalidering

Før infektionsprocessen fortsættes, udfører malwaren kontroller for at afgøre, om den kører i et kontrolleret analysemiljø.

HTA'en forespørger Windows-registreringsnøglen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate for at estimere, hvor længe operativsystemet har været installeret. Hvis systemet er mindre end ti dage gammelt, hvilket er et almindeligt kendetegn ved sandkassemiljøer, afslutter malwaren udførelsen. Dette trin hjælper angriberne med at undgå at blive opdaget af automatiserede malwareanalysesystemer.

Mekanismer for implementering af nyttelast og persistens

Hvis systemet består miljøkontrollerne, fortsætter malwaren med at udtrække yderligere komponenter fra det downloadede ZIP-arkiv. To filer hentes: en VBScript-fil og et PNG-billede, der indeholder skjult kode. Disse filer skrives til disken under nye filnavne.

Persistens opnås ved at oprette en planlagt opgave, der automatisk udfører VBScriptet. Scriptets primære formål er at udtrække skadelig kode, der er skjult i PNG-filen. Denne indlejrede nyttelast er en obfuskeret .NET-loader kendt som BadPaw, som derefter initierer kommunikation med en fjern kommando- og kontrolserver.

BadPaw Loader og MeowMeow-bagdøren

BadPaw-loaderen fungerer som den mellemliggende komponent, der er ansvarlig for at downloade yderligere malware-moduler. Dens hovedformål er at hente og installere en bagdørs-eksekverbar fil ved navn MeowMeow.

MeowMeow-applikationen har en usædvanlig distraktionsfunktion i sin grafiske brugerflade. Når der klikkes på den synlige 'MeowMeow'-knap, viser programmet blot en besked med teksten 'Meow Meow Meow' og udfører ingen ondsindet aktivitet. Denne adfærd fungerer som et sekundært lokkemiddel, der har til formål at vildlede analytikere under manuel inspektion.

Den faktiske skadelige funktionalitet udløses kun under specifikke betingelser. Den eksekverbare fil skal startes med en bestemt parameter (-v) angivet under infektionskæden, og den skal bekræfte, at den kører på et rigtigt slutpunkt snarere end et analysemiljø.

Anti-analysebeskyttelse og operationelle muligheder

Før malwaren aktiverer sine bagdørsfunktioner, kontrollerer den, om sikkerheds- eller retsmedicinske overvågningsværktøjer kører. Udførelsen stoppes, hvis der registreres applikationer som Wireshark, Procmon, Ollydbg eller Fiddler, hvilket yderligere komplicerer analysearbejdet.

Når MeowMeow-bagdøren er aktiveret, giver den angribere adskillige muligheder:

  • Fjernudførelse af PowerShell-kommandoer på den kompromitterede vært
  • Manipulation af filsystemer, herunder læsning, skrivning og sletning af filer

Disse funktioner giver angribere mulighed for at udføre opfølgende operationer såsom dataindsamling, lateral bevægelse eller yderligere implementering af nyttelast.

Russisksprogede artefakter i malwarekoden

Under deres undersøgelse opdagede forskerne russisksprogede strenge indlejret i malwarens kildekode, hvilket styrker tilskrivningen til en russisktalende trusselsaktør.

Tilstedeværelsen af disse artefakter kan indikere en af to muligheder. Angriberne kan have begået en operationel sikkerhedsfejl ved ikke at lokalisere koden til det ukrainske miljø. Alternativt kan strengene repræsentere udviklingsartefakter, der utilsigtet er efterladt under malwarens oprettelsesproces.

Uanset årsagen bidrager disse sproglige indikatorer til den bredere vurdering af tilskrivningen, der forbinder kampagnen med russiske cyberoperationer.

Trending

Mest sete

Indlæser...