MeowMeow Takaovi
Kyberturvallisuustutkijat ovat paljastaneet aiemmin dokumentoimattoman MeowMeow-nimisen haittaohjelmaperheen, jota käytettiin ukrainalaisiin organisaatioihin kohdistuneessa kyberkampanjassa. Operaatio osoittaa strukturoidun tartuntaketjun ja kerrostettujen harhautustekniikoiden käytön järjestelmien vaarantamiseksi ja pysyvyyden ylläpitämiseksi.
Useiden indikaattoreiden perusteella kampanja on kohtalaisella varmuudella liitetty Venäjän valtion tukemaan uhkatoimijaan APT28:aan. Tämä arvio perustuu kampanjan kohdistusmalleihin, houkuttimiin liittyviin geopoliittisiin teemoihin ja teknisiin yhtäläisyyksiin aiempiin Venäjän kyberoperaatioihin.
Sisällysluettelo
Tietojenkalasteluhyökkäyksen aloituskohta ja alustava seurantamekanismi
Hyökkäyssekvenssi alkaa huolellisesti laaditulla tietojenkalasteluviestillä, joka on suunniteltu vaikuttamaan uskottavalta. Viesti lähetetään ukr.net-sivustoon yhdistetystä osoitteesta. Tämän taktiikan tarkoituksena on todennäköisesti lisätä luottamusta ukrainalaisten vastaanottajien keskuudessa.
Sähköpostissa on linkki, joka väittää johtavan ZIP-arkistoon. Kun uhri napsauttaa linkkiä, selain ei lataa tiedostoa välittömästi. Sen sijaan se lataa erittäin pienen kuvan, joka toimii seurantapikselinä ja viestii hyökkääjille, että linkki on avattu. Tämän vahvistusvaiheen jälkeen uhri ohjataan toiseen URL-osoitteeseen, josta haitallinen ZIP-arkisto lopulta ladataan.
Petos houkutuskeinona käytettävän hallituksen asiakirjan avulla
Kun arkisto on purettu, tartuntaketju käynnistää HTML-sovellustiedoston (HTA). HTA suorittaa samanaikaisesti kaksi toimintoa:
- Näyttää ukrainankielisen houkutusasiakirjan, joka liittyy rajanylitysvetoomuksiin.
- Käynnistää lisää haitallisia prosesseja taustalla.
Asiakirja toimii sosiaalisen manipuloinnin mekanismina esittämällä näennäisen vahvistuksen rajanylitysmenettelyjä koskevan hallituksen valituksen vastaanottamisesta. Tämä huolellisesti muotoiltu narratiivi vahvistaa legitimiteetin illuusiota, samalla kun haitallinen toiminta jatkuu näkymättömänä.
Hiekkalaatikon kiertäminen ja järjestelmän validointi
Ennen tartuntaprosessin jatkamista haittaohjelma tarkistaa, toimiiko se kontrolloidussa analyysiympäristössä.
HTA tekee kyselyn Windowsin rekisteriavaimeen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate arvioidakseen, kuinka kauan käyttöjärjestelmä on ollut asennettuna. Jos järjestelmä on alle kymmenen päivää vanha, mikä on yleinen ominaisuus hiekkalaatikkoympäristöissä, haittaohjelma lopettaa suorituksen. Tämä vaihe auttaa hyökkääjiä välttämään automaattisten haittaohjelma-analyysijärjestelmien havaitsemisen.
Hyötykuorman käyttöönotto- ja pysyvyysmekanismit
Jos järjestelmä läpäisee ympäristötarkistukset, haittaohjelma purkaa ladatusta ZIP-arkistosta lisäkomponentteja. Haetaan kaksi tiedostoa: VBScript-tiedosto ja piilotettua koodia sisältävä PNG-kuva. Nämä tiedostot kirjoitetaan levylle uusilla tiedostonimillä.
Pysyvyys saavutetaan luomalla ajoitettu tehtävä, joka suorittaa VBScript-komennon automaattisesti. Komentosarjan ensisijainen tarkoitus on erottaa PNG-tiedostosta piilotettu haitallinen koodi. Tämä upotettu hyötykuorma on BadPaw-niminen hämärretty .NET-lataaja, joka sitten aloittaa tietoliikenteen etäkomento- ja ohjauspalvelimen kanssa.
BadPaw Loader ja MeowMeow-takaovi
BadPaw-lataaja toimii välittäjäkomponenttina, joka vastaa lisähaittaohjelmamoduulien lataamisesta. Sen päätavoitteena on hakea ja asentaa MeowMeow-niminen takaportin suoritettava tiedosto.
MeowMeow-sovelluksen graafisessa käyttöliittymässä on epätavallinen häiriötekijä. Kun näkyvää 'MeowMeow'-painiketta napsautetaan, ohjelma näyttää vain viestin 'Meow Meow Meow', eikä se suorita haitallista toimintaa. Tämä toimii toissijaisena houkutuskeinona, jonka tarkoituksena on johtaa analyytikoita harhaan manuaalisen tarkastuksen aikana.
Varsinainen haitallinen toiminnallisuus käynnistyy vain tietyissä olosuhteissa. Suoritettava tiedosto on käynnistettävä tietyllä parametrilla (-v), joka annetaan tartuntaketjun aikana, ja sen on vahvistettava, että se toimii oikealla päätepisteellä analyysiympäristön sijaan.
Analyysinvastaiset suojaukset ja operatiiviset ominaisuudet
Ennen takaporttitoimintojensa aktivoimista haittaohjelma tarkistaa, ovatko tietoturva- tai rikostutkintatyökalut käynnissä. Suoritus keskeytetään, jos havaitaan sovelluksia, kuten Wireshark, Procmon, Ollydbg tai Fiddler, mikä vaikeuttaa analysointia entisestään.
Aktivoituna MeowMeow-takaovi tarjoaa hyökkääjille useita ominaisuuksia:
- PowerShell-komentojen etäsuorittaminen vaarantuneella isännällä
- Tiedostojärjestelmän käsittely, mukaan lukien tiedostojen lukeminen, kirjoittaminen ja poistaminen
Näiden toimintojen avulla hyökkääjät voivat suorittaa jatkotoimia, kuten tiedonkeruun, sivuttaissiirron tai hyötykuormien jatkojakelun.
Venäjänkieliset artefaktit haittaohjelmakoodissa
Tutkimuksensa aikana tutkijat löysivät haittaohjelman lähdekoodista venäjänkielisiä merkkijonoja, mikä vahvistaa väitettä, että uhkatoimija oli venäjänkielinen.
Näiden artefaktien esiintyminen voi viitata kahteen mahdollisuuteen. Hyökkääjät ovat saattaneet tehdä operatiivisen tietoturvavirheen jättämällä koodin lokalisoimatta Ukrainan ympäristöön. Vaihtoehtoisesti merkkijonot voivat edustaa kehitysartefakteja, jotka on tahattomasti jätetty haittaohjelman luomisprosessin aikana.
Syystä riippumatta nämä kielelliset indikaattorit myötävaikuttavat laajempaan arvioon, joka yhdistää kampanjan Venäjän kyberoperaatioihin.
