MeowMeow Tagauks

Aastaks Mezo aastal Tagauksed, Täiustatud püsiv oht (APT)

Tõlgi:

Küberjulgeolekuuurijad on avastanud varem dokumenteerimata pahavara perekonna nimega MeowMeow, mida kasutati Ukraina organisatsioonide sihtimiseks mõeldud küberkampaanias. Operatsioon demonstreerib struktureeritud nakkusahelat ja mitmekihiliste pettustehnikate kasutamist süsteemide kahjustamiseks ja viiruse püsivuse säilitamiseks.

Mitmete näitajate põhjal on kampaaniat mõõduka kindlusega seostatud Venemaa riiklikult toetatava ohuüksusega APT28. See hinnang tugineb kampaania sihtimismustritele, peibutistesse põimitud geopoliitilistele teemadele ja tehnilistele sarnasustele varasemate Venemaa küberoperatsioonidega.

Sisukord

Andmepüügi sisenemispunkt ja esialgne jälgimismehhanism

Rünnakujärjestus algab hoolikalt koostatud andmepüügikirjaga, mis on loodud usaldusväärsena paistma. Sõnum saadetakse aadressilt, mis on seotud ukr.net-iga – taktika, mille eesmärk on tõenäoliselt suurendada usaldust Ukraina adressaatide seas.

E-kirjas on link, mis väidetavalt viib ZIP-arhiivi. Kui ohver lingile klõpsab, ei laadi brauser faili kohe alla. Selle asemel laadib see äärmiselt väikese pildi, mis toimib jälgimispikslina, andes ründajatele märku lingi avamisest. Pärast seda kinnitusetappi suunatakse ohver teisele URL-ile, kus pahatahtlik ZIP-arhiiv lõpuks alla laaditakse.

Petmine valitsuse dokumendi abil

Kui arhiiv on lahti pakitud, käivitab nakatamisahel HTML-rakenduse (HTA) faili. HTA teeb samaaegselt kaks toimingut:

Kuvab ukraina keeles kirjutatud peibutusdokumenti, mis on seotud piiriületuse üleskutsetega.
Käivitab taustal täiendavaid pahatahtlikke protsesse.

Dokument toimib sotsiaalse manipuleerimise mehhanismina, esitades näiliselt kinnituse valitsuse piiriületusprotseduure puudutava pöördumise kättesaamisest. See hoolikalt koostatud narratiiv tugevdab legitiimsuse illusiooni, samal ajal kui pahatahtlik tegevus jätkub märkamatult.

Liivakastist kõrvalehoidumine ja süsteemi valideerimine

Enne nakatamisprotsessi jätkamist kontrollib pahavara, kas see töötab kontrollitud analüüsikeskkonnas.

HTA pärib Windowsi registrivõtme HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate kaudu, et hinnata, kui kaua operatsioonisüsteem on installitud olnud. Kui süsteem on alla kümne päeva vana, mis on liivakastikeskkondade puhul tavaline tunnus, peatab pahavara täitmise. See samm aitab ründajatel vältida automaatsete pahavara analüüsisüsteemide tuvastamist.

Kasuliku koormuse juurutamise ja püsivuse mehhanismid

Kui süsteem läbib keskkonnakontrolli, jätkab pahavara allalaaditud ZIP-arhiivist täiendavate komponentide hankimist. Hangitakse kaks faili: VBScript-fail ja peidetud koodi sisaldav PNG-pilt. Need failid kirjutatakse kettale uute failinimedega.

Püsivus saavutatakse ajastatud ülesande loomisega, mis käivitab automaatselt VBScripti. Skripti peamine eesmärk on PNG-failis peituva pahatahtliku koodi eraldamine. See manustatud koormus on hägustatud .NET-laadur, mida tuntakse BadPaw nime all ja mis seejärel algatab suhtluse kaugjuhtimisserveriga.

BadPaw Loader ja MeowMeow tagauks

BadPaw laadur toimib vahendava komponendina, mis vastutab täiendavate pahavara moodulite allalaadimise eest. Selle peamine eesmärk on hankida ja installida tagaukse käivitatav fail nimega MeowMeow.

Rakendusel MeowMeow on graafilises liideses ebatavaline tähelepanu hajutamise funktsioon. Kui klõpsatakse nähtaval nupul „MeowMeow”, kuvab programm lihtsalt teate kirjaga „Meow Meow Meow”, pahatahtlikku tegevust ei teostata. See käitumine toimib teisejärgulise peibutisena, mille eesmärk on analüütikute eksitamine käsitsi kontrolli ajal.

Tegelik pahatahtlik funktsionaalsus käivitub ainult teatud tingimustel. Käivitatav fail tuleb käivitada nakkusahela ajal antud kindla parameetriga (-v) ning see peab kinnitama, et see töötab reaalses lõpp-punktis, mitte analüüsikeskkonnas.

Analüüsivastased kaitsemeetmed ja operatiivsed võimalused

Enne tagaukse funktsioonide aktiveerimist kontrollib pahavara, kas turva- või kohtuekspertiisi seiretööriistad töötavad. Rakenduste (nt Wireshark, Procmon, Ollydbg või Fiddler) tuvastamisel peatatakse nende täitmine, mis raskendab analüüsi veelgi.

Kui MeowMeow tagauks on aktiveeritud, pakub see ründajatele mitmeid võimalusi:

PowerShelli käskude kaugkäivitamine ohustatud hostil
Failisüsteemi manipuleerimine, sealhulgas failide lugemine, kirjutamine ja kustutamine

Need funktsioonid võimaldavad ründajatel teostada järeltoiminguid, näiteks andmete kogumist, külgmist liikumist või edasist kasuliku koormuse paigutamist.

Venekeelsed artefaktid pahavara koodis

Uurimise käigus avastasid teadlased pahavara lähtekoodis venekeelseid tekstisid, mis tugevdas seost venekeelse ohutegelasega.

Nende artefaktide olemasolu võib viidata ühele kahest võimalusest. Ründajad võisid olla toime pannud operatiivse turvavea, jättes koodi Ukraina keskkonna jaoks lokaliseerimata. Teise võimalusena võivad stringid esindada arendusartefakte, mis on pahavara loomise protsessi käigus tahtmatult maha jäetud.

Olenemata põhjusest aitavad need keelelised näitajad kaasa laiemale omistamishinnangule, mis seob kampaania Venemaa küberoperatsioonidega.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda

MeowMeow Tagauks

Andmepüügi sisenemispunkt ja esialgne jälgimismehhanism

Petmine valitsuse dokumendi abil

Liivakastist kõrvalehoidumine ja süsteemi valideerimine

Kasuliku koormuse juurutamise ja püsivuse mehhanismid

BadPaw Loader ja MeowMeow tagauks

Analüüsivastased kaitsemeetmed ja operatiivsed võimalused

Venekeelsed artefaktid pahavara koodis

Esita kommentaar

Trendikas

Precludestore.com

SURXRAT pahavara

Zap PDF

Enim vaadatud

Pahavara

"Geek Squad" meilipettus

Eporner.com