Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Backdoors MeowMeow Κερκόπορτα

MeowMeow Κερκόπορτα

Μέχρι το Mezo το Backdoors, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια προηγουμένως μη καταγεγραμμένη οικογένεια κακόβουλου λογισμικού με το όνομα MeowMeow, η οποία αναπτύχθηκε σε μια κυβερνοεκστρατεία που στόχευε ουκρανικούς οργανισμούς. Η επιχείρηση καταδεικνύει μια δομημένη αλυσίδα μόλυνσης και τη χρήση τεχνικών παραπλάνησης σε επίπεδα για την παραβίαση συστημάτων και τη διατήρηση της βιωσιμότητας.

Με βάση πολλαπλούς δείκτες, η εκστρατεία έχει αποδοθεί με μέτρια βεβαιότητα στον ρωσικό κρατικό φορέα απειλής APT28. Αυτή η αξιολόγηση βασίζεται στα πρότυπα στόχευσης της εκστρατείας, στα γεωπολιτικά θέματα που είναι ενσωματωμένα στα δολώματα και στις τεχνικές ομοιότητες με προηγούμενες ρωσικές κυβερνοεπιχειρήσεις.

Σημείο εισόδου ηλεκτρονικού “ψαρέματος” (phishing) και αρχικός μηχανισμός παρακολούθησης

Η ακολουθία της επίθεσης ξεκινά με ένα προσεκτικά σχεδιασμένο email ηλεκτρονικού "ψαρέματος" (phishing) που έχει σχεδιαστεί για να φαίνεται αξιόπιστο. Το μήνυμα αποστέλλεται από μια διεύθυνση που σχετίζεται με το ukr.net, μια τακτική που πιθανότατα αποσκοπεί στην αύξηση της εμπιστοσύνης μεταξύ των Ουκρανών παραληπτών.

Μέσα στο email υπάρχει ένας σύνδεσμος που ισχυρίζεται ότι οδηγεί σε ένα αρχείο ZIP. Όταν το θύμα κάνει κλικ στον σύνδεσμο, το πρόγραμμα περιήγησης δεν κατεβάζει αμέσως το αρχείο. Αντίθετα, φορτώνει μια εξαιρετικά μικρή εικόνα που λειτουργεί ως εικονοστοιχείο παρακολούθησης, σηματοδοτώντας στους εισβολείς ότι ο σύνδεσμος έχει ανοιχτεί. Μετά από αυτό το βήμα επιβεβαίωσης, το θύμα ανακατευθύνεται σε μια άλλη διεύθυνση URL όπου τελικά λαμβάνεται το κακόβουλο αρχείο ZIP.

Παραπλάνηση μέσω ενός κυβερνητικού εγγράφου-δολώματος

Μόλις εξαχθεί το αρχείο, η αλυσίδα μόλυνσης εκκινεί ένα αρχείο εφαρμογής HTML (HTA). Το HTA εκτελεί ταυτόχρονα δύο ενέργειες:

  • Εμφανίζει ένα έγγραφο δολώματος γραμμένο στα ουκρανικά σχετικά με προσφυγές για τη διέλευση των συνόρων.
  • Εκκινεί πρόσθετες κακόβουλες διεργασίες στο παρασκήνιο.

Το έγγραφο λειτουργεί ως μηχανισμός κοινωνικής μηχανικής, παρουσιάζοντας αυτό που φαίνεται να είναι επιβεβαίωση παραλαβής μιας κυβερνητικής έκκλησης σχετικά με τις διαδικασίες διέλευσης των συνόρων. Αυτή η προσεκτικά δομημένη αφήγηση ενισχύει την ψευδαίσθηση της νομιμότητας, ενώ η κακόβουλη δραστηριότητα συνεχίζεται απαρατήρητη.

Αποφυγή Sandbox και Επικύρωση Συστήματος

Πριν προχωρήσει στη διαδικασία μόλυνσης, το κακόβουλο λογισμικό εκτελεί ελέγχους για να διαπιστώσει εάν εκτελείται σε ελεγχόμενο περιβάλλον ανάλυσης.

Το HTA υποβάλλει ερώτημα στο κλειδί μητρώου των Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate για να εκτιμήσει πόσο καιρό έχει εγκατασταθεί το λειτουργικό σύστημα. Εάν το σύστημα είναι λιγότερο από δέκα ημέρες παλιό, ένα κοινό χαρακτηριστικό των περιβαλλόντων sandbox, το κακόβουλο λογισμικό τερματίζει την εκτέλεση. Αυτό το βήμα βοηθά τους εισβολείς να αποφύγουν τον εντοπισμό από αυτοματοποιημένα συστήματα ανάλυσης κακόβουλου λογισμικού.

Μηχανισμοί Ανάπτυξης και Διατήρησης Ωφέλιμου Φορτίου

Εάν το σύστημα περάσει τους ελέγχους περιβάλλοντος, το κακόβουλο λογισμικό προχωρά στην εξαγωγή πρόσθετων στοιχείων από το ληφθέν αρχείο ZIP. Ανακτώνται δύο αρχεία: ένα αρχείο VBScript και μια εικόνα PNG που περιέχει κρυφό κώδικα. Αυτά τα αρχεία εγγράφονται στον δίσκο με νέα ονόματα αρχείων.

Η επιμονή επιτυγχάνεται με τη δημιουργία μιας προγραμματισμένης εργασίας που εκτελεί αυτόματα το VBScript. Ο κύριος σκοπός του σεναρίου είναι η εξαγωγή κακόβουλου κώδικα που κρύβεται μέσα στο αρχείο PNG. Αυτό το ενσωματωμένο ωφέλιμο φορτίο είναι ένας κρυμμένος φορτωτής .NET γνωστός ως BadPaw, ο οποίος στη συνέχεια ξεκινά την επικοινωνία με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου.

BadPaw Loader και η πίσω πόρτα MeowMeow

Το πρόγραμμα φόρτωσης BadPaw χρησιμεύει ως ενδιάμεσο στοιχείο που είναι υπεύθυνο για τη λήψη πρόσθετων λειτουργικών μονάδων κακόβουλου λογισμικού. Ο κύριος στόχος του είναι η ανάκτηση και η ανάπτυξη ενός εκτελέσιμου αρχείου backdoor με το όνομα MeowMeow.

Η εφαρμογή MeowMeow περιλαμβάνει μια ασυνήθιστη λειτουργία απόσπασης της προσοχής στο γραφικό της περιβάλλον. Όταν κάνετε κλικ στο ορατό κουμπί «MeowMeow», το πρόγραμμα απλώς εμφανίζει ένα μήνυμα που αναφέρει «Meow Meow Meow», χωρίς να εκτελεί κακόβουλη δραστηριότητα. Αυτή η συμπεριφορά λειτουργεί ως δευτερεύον δόλωμα που αποσκοπεί στην παραπλάνηση των αναλυτών κατά τη διάρκεια του χειροκίνητου ελέγχου.

Η πραγματική κακόβουλη λειτουργικότητα ενεργοποιείται μόνο υπό συγκεκριμένες συνθήκες. Το εκτελέσιμο αρχείο πρέπει να εκκινηθεί με μια συγκεκριμένη παράμετρο (-v) που παρέχεται κατά την αλυσίδα μόλυνσης και πρέπει να επιβεβαιώσει ότι εκτελείται σε ένα πραγματικό τελικό σημείο και όχι σε ένα περιβάλλον ανάλυσης.

Προστασία από την ανάλυση και λειτουργικές δυνατότητες

Πριν ενεργοποιήσει τις δυνατότητες backdoor, το κακόβουλο λογισμικό ελέγχει εάν εκτελούνται εργαλεία ασφαλείας ή εγκληματολογικής παρακολούθησης. Η εκτέλεση διακόπτεται εάν εντοπιστούν εφαρμογές όπως Wireshark, Procmon, Ollydbg ή Fiddler, περιπλέκοντας περαιτέρω τις προσπάθειες ανάλυσης.

Μόλις ενεργοποιηθεί, το backdoor MeowMeow παρέχει στους εισβολείς διάφορες δυνατότητες:

  • Απομακρυσμένη εκτέλεση εντολών PowerShell στον παραβιασμένο κεντρικό υπολογιστή
  • Χειρισμός συστήματος αρχείων, συμπεριλαμβανομένης της ανάγνωσης, της εγγραφής και της διαγραφής αρχείων

Αυτές οι λειτουργίες επιτρέπουν στους επιτιθέμενους να εκτελούν επακόλουθες λειτουργίες, όπως συλλογή δεδομένων, πλευρική μετακίνηση ή περαιτέρω ανάπτυξη ωφέλιμου φορτίου.

Τεχνουργήματα Ρωσικής Γλώσσας στον Κώδικα Κακόβουλου Λογισμικού

Κατά τη διάρκεια της έρευνάς τους, οι ερευνητές ανακάλυψαν συμβολοσειρές ρωσικής γλώσσας ενσωματωμένες στον πηγαίο κώδικα του κακόβουλου λογισμικού, ενισχύοντας την απόδοση σε έναν ρωσόφωνο απειλητικό παράγοντα.

Η παρουσία αυτών των τεχνουργημάτων μπορεί να υποδηλώνει μία από τις δύο πιθανότητες. Οι εισβολείς μπορεί να έχουν διαπράξει μια επιχειρησιακή παράλειψη ασφαλείας, μη εντοπίζοντας τον κώδικα για το ουκρανικό περιβάλλον. Εναλλακτικά, οι συμβολοσειρές μπορεί να αντιπροσωπεύουν τεχνουργήματα ανάπτυξης που άφησαν κατά λάθος πίσω τους κατά τη διαδικασία δημιουργίας του κακόβουλου λογισμικού.

Ανεξάρτητα από την αιτία, αυτοί οι γλωσσικοί δείκτες συμβάλλουν στην ευρύτερη αξιολόγηση της απόδοσης που συνδέει την εκστρατεία με ρωσικές κυβερνοεπιχειρήσεις.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
22,467
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...