قیمت چند مجوز تخفیف
پایگاه داده تهدید درهای پشتی MeowMeow Backdoor

MeowMeow Backdoor

تا Mezo در درهای پشتی, تهدید مداوم پیشرفته (APT)
ترجمه به:

محققان امنیت سایبری یک خانواده بدافزار به نام MeowMeow را که قبلاً مستند نشده بود، کشف کردند که در یک کمپین سایبری با هدف قرار دادن سازمان‌های اوکراینی به کار گرفته شده است. این عملیات، یک زنجیره آلودگی ساختاریافته و استفاده از تکنیک‌های فریب لایه‌ای را برای به خطر انداختن سیستم‌ها و حفظ پایداری نشان می‌دهد.

بر اساس شاخص‌های متعدد، این کمپین با اطمینان متوسط به عامل تهدید تحت حمایت دولت روسیه، APT28، نسبت داده شده است. این ارزیابی بر الگوهای هدف‌گیری کمپین، مضامین ژئوپلیتیکی نهفته در طعمه‌ها و شباهت‌های فنی با عملیات سایبری قبلی روسیه متکی است.

نقطه ورود فیشینگ و مکانیزم ردیابی اولیه

سلسله حملات با یک ایمیل فیشینگِ با دقت طراحی‌شده که طوری طراحی شده که معتبر به نظر برسد، آغاز می‌شود. این پیام از آدرسی مرتبط با ukr.net ارسال می‌شود، تاکتیکی که احتمالاً برای افزایش اعتماد در بین گیرندگان اوکراینی در نظر گرفته شده است.

درون ایمیل لینکی وجود دارد که ادعا می‌کند به یک فایل فشرده (ZIP) منتهی می‌شود. وقتی قربانی روی لینک کلیک می‌کند، مرورگر بلافاصله فایل را دانلود نمی‌کند. در عوض، یک تصویر بسیار کوچک بارگذاری می‌شود که به عنوان یک پیکسل ردیابی عمل می‌کند و به مهاجمان سیگنال می‌دهد که لینک باز شده است. پس از این مرحله تأیید، قربانی به آدرس اینترنتی دیگری هدایت می‌شود که در آنجا فایل فشرده مخرب در نهایت دانلود می‌شود.

فریب از طریق یک سند دولتی فریبنده

پس از استخراج آرشیو، زنجیره آلودگی یک فایل HTML Application (HTA) را اجرا می‌کند. HTA همزمان دو عمل انجام می‌دهد:

  • یک سند فریب به زبان اوکراینی مربوط به درخواست‌های عبور از مرز را نمایش می‌دهد.
  • فرآیندهای مخرب اضافی را در پس‌زمینه آغاز می‌کند.

این سند با ارائه چیزی که به نظر می‌رسد تأیید دریافت درخواست تجدیدنظر دولتی در مورد رویه‌های عبور از مرز است، به عنوان یک مکانیسم مهندسی اجتماعی عمل می‌کند. این روایت با دقت ساخته شده، توهم مشروعیت را تقویت می‌کند در حالی که فعالیت‌های مخرب همچنان به صورت نامرئی ادامه دارد.

گریز از سندباکس و اعتبارسنجی سیستم

قبل از ادامه فرآیند آلوده‌سازی، بدافزار بررسی‌هایی انجام می‌دهد تا مشخص شود که آیا در یک محیط تجزیه و تحلیل کنترل‌شده اجرا می‌شود یا خیر.

HTA از کلید رجیستری ویندوز HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate برای تخمین مدت زمان نصب سیستم عامل استفاده می‌کند. اگر سیستم کمتر از ده روز عمر داشته باشد، که یک ویژگی رایج در محیط‌های سندباکس است، بدافزار اجرا را متوقف می‌کند. این مرحله به مهاجمان کمک می‌کند تا از شناسایی توسط سیستم‌های تجزیه و تحلیل خودکار بدافزار جلوگیری کنند.

سازوکارهای استقرار و ماندگاری بار داده

اگر سیستم از بررسی‌های محیطی عبور کند، بدافزار اجزای اضافی را از آرشیو ZIP دانلود شده استخراج می‌کند. دو فایل بازیابی می‌شوند: یک فایل VBScript و یک تصویر PNG حاوی کد مخفی. این فایل‌ها با نام‌های جدید روی دیسک نوشته می‌شوند.

ماندگاری با ایجاد یک وظیفه زمان‌بندی‌شده که به‌طور خودکار VBScript را اجرا می‌کند، حاصل می‌شود. هدف اصلی این اسکریپت، استخراج کد مخرب پنهان‌شده در فایل PNG است. این بار داده جاسازی‌شده، یک بارگذار .NET مبهم‌سازی‌شده به نام BadPaw است که سپس ارتباط با یک سرور کنترل و فرمان از راه دور را آغاز می‌کند.

بارگذار BadPaw و درب پشتی MeowMeow

بارگذار BadPaw به عنوان مؤلفه واسطه‌ای مسئول دانلود ماژول‌های بدافزار اضافی عمل می‌کند. هدف اصلی آن بازیابی و استقرار یک فایل اجرایی درب پشتی به نام MeowMeow است.

برنامه MeowMeow شامل یک ویژگی حواس‌پرتی غیرمعمول در رابط گرافیکی خود است. هنگامی که روی دکمه قابل مشاهده «MeowMeow» کلیک می‌شود، برنامه به سادگی پیامی با عنوان «Meow Meow Meow» را نمایش می‌دهد، که هیچ فعالیت مخربی انجام نمی‌دهد. این رفتار به عنوان یک طعمه ثانویه عمل می‌کند که برای گمراه کردن تحلیلگران در طول بازرسی دستی در نظر گرفته شده است.

عملکرد مخرب واقعی فقط تحت شرایط خاص فعال می‌شود. فایل اجرایی باید با پارامتر خاصی (-v) که در طول زنجیره آلودگی ارائه می‌شود، اجرا شود و باید تأیید کند که در یک نقطه پایانی واقعی به جای یک محیط تحلیلی اجرا می‌شود.

محافظت‌های ضد تجزیه و تحلیل و قابلیت‌های عملیاتی

این بدافزار قبل از فعال کردن قابلیت‌های درب پشتی خود، بررسی می‌کند که آیا ابزارهای امنیتی یا نظارتی قانونی در حال اجرا هستند یا خیر. در صورت شناسایی برنامه‌هایی مانند Wireshark، Procmon، Ollydbg یا Fiddler، اجرای آن متوقف می‌شود که این امر تلاش‌های تجزیه و تحلیل را پیچیده‌تر می‌کند.

پس از فعال شدن، درب پشتی MeowMeow قابلیت‌های متعددی را در اختیار مهاجمان قرار می‌دهد:

  • اجرای از راه دور دستورات PowerShell روی میزبان آسیب‌پذیر
  • دستکاری سیستم فایل، شامل خواندن، نوشتن و حذف فایل‌ها

این توابع به مهاجمان اجازه می‌دهند عملیات‌های بعدی مانند جمع‌آوری داده‌ها، جابجایی جانبی یا استقرار بیشتر بار داده را انجام دهند.

آثار باستانی به زبان روسی در کد بدافزار

محققان در طول تحقیقات خود، رشته‌های زبان روسی را که در کد منبع بدافزار جاسازی شده بودند، کشف کردند که انتساب آن به یک عامل تهدید روس زبان را تقویت می‌کند.

وجود این مصنوعات می‌تواند نشان‌دهنده‌ی یکی از دو احتمال باشد. ممکن است مهاجمان با عدم بومی‌سازی کد برای محیط اوکراین، مرتکب یک سهل‌انگاری امنیتی عملیاتی شده باشند. از طرف دیگر، این رشته‌ها ممکن است نشان‌دهنده‌ی مصنوعات توسعه‌ای باشند که به‌طور ناخواسته در طول فرآیند ایجاد بدافزار باقی مانده‌اند.

صرف نظر از علت، این شاخص‌های زبانی به ارزیابی گسترده‌تر نسبت دادن این کمپین به عملیات سایبری روسیه کمک می‌کنند.

پرطرفدار

Zap PDF

برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
محافظت از دستگاه‌ها در برابر برنامه‌های مزاحم و غیرقابل اعتماد برای حفظ حریم خصوصی، امنیت و ثبات سیستم ضروری است. برنامه‌های ناخواسته (PUP) اغلب به عنوان ابزارهای مفید پنهان می‌شوند، در حالی که به...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
22,467
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...