MeowMeow דלת אחורית

חוקרי אבטחת סייבר חשפו משפחת תוכנות זדוניות בשם MeowMeow, שלא תועדה קודם לכן, שנפרסה במסגרת קמפיין סייבר שכוון נגד ארגונים אוקראינים. המבצע מדגים שרשרת הדבקה מובנית ושימוש בטכניקות הטעיה מרובדות כדי לפגוע במערכות ולשמור על עמידותן.

בהתבסס על אינדיקטורים מרובים, הקמפיין יוחס בביטחון בינוני לגורם האיום APT28 בחסות המדינה הרוסית. הערכה זו מסתמכת על דפוסי התקיפה של הקמפיין, נושאים גיאופוליטיים המוטמעים בפיתיונות, ודמיון טכני לפעולות סייבר רוסיות קודמות.

נקודת כניסה לפישינג ומנגנון מעקב ראשוני

רצף ההתקפה מתחיל בדוא"ל פישינג שנוצר בקפידה, שנועד להיראות אמין. ההודעה נשלחת מכתובת המקושרת ל-ukr.net, טקטיקה שכנראה נועדה להגביר את האמון בקרב נמענים אוקראינים.

בתוך האימייל יש קישור שטוען שהוא מוביל לארכיון ZIP. כאשר הקורבן לוחץ על הקישור, הדפדפן אינו מוריד את הקובץ באופן מיידי. במקום זאת, הוא טוען תמונה קטנה במיוחד המתפקדת כפיקסל מעקב, ומאותתת לתוקפים שהקישור נפתח. לאחר שלב אישור זה, הקורבן מופנה לכתובת URL אחרת שבה הורדת ארכיון ה-ZIP הזדוני לבסוף.

הטעיה באמצעות מסמך ממשלתי פיתוי

לאחר חילוץ הארכיון, שרשרת ההדבקה משיקה קובץ יישום HTML (HTA). ה-HTA מבצע שתי פעולות בו זמנית:

• מציג מסמך פיתיון שנכתב באוקראינית הקשור לפניות על מעבר גבול.
• מפעיל תהליכים זדוניים נוספים ברקע.

המסמך משמש כמנגנון הנדסה חברתית בכך שהוא מציג מה שנראה כאישור קבלה של ערעור ממשלתי בנוגע להליכי חציית הגבול. נרטיב זה, שנוצר בקפידה, מחזק את אשליית הלגיטימציה בעוד שפעילות זדונית נמשכת מבלי שרואים אותה.

התחמקות מארגז חול ואימות מערכת

לפני שתמשיך בתהליך ההדבקה, התוכנה הזדונית מבצעת בדיקות כדי לקבוע אם היא פועלת בסביבת ניתוח מבוקרת.

ה-HTA מבצע שאילתה על מפתח הרישום של Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate כדי להעריך כמה זמן מערכת ההפעלה הותקנה. אם המערכת בת פחות מעשרה ימים, מאפיין נפוץ של סביבות ארגז חול, התוכנה הזדונית מפסיקה את הביצוע. שלב זה עוזר לתוקפים להימנע מגילוי על ידי מערכות אוטומטיות לניתוח תוכנות זדוניות.

מנגנוני פריסה והתמדה של מטען

אם המערכת עוברת את בדיקות הסביבה, התוכנה הזדונית ממשיכה לחלץ רכיבים נוספים מארכיון ה-ZIP שהורד. שני קבצים מאוחזרים: קובץ VBScript ותמונת PNG המכילה קוד מוסתר. קבצים אלה נכתבים לדיסק תחת שמות קבצים חדשים.

התמדה מושגת על ידי יצירת משימה מתוזמנת שמבצעת באופן אוטומטי את ה-VBScript. המטרה העיקרית של הסקריפט היא לחלץ קוד זדוני המוסתר בתוך קובץ ה-PNG. מטען מוטמע זה הוא טוען .NET מעורפל המכונה BadPaw, אשר לאחר מכן יוזם תקשורת עם שרת פיקוד ובקרה מרוחק.

טוען BadPaw והדלת האחורית MeowMeow

טוען BadPaw משמש כרכיב ביניים האחראי על הורדת מודולים נוספים של תוכנות זדוניות. מטרתו העיקרית היא לאחזר ולפרוס קובץ הרצה אחורי בשם MeowMeow.

אפליקציית MeowMeow כוללת תכונת הסחת דעת יוצאת דופן בממשק הגרפי שלה. כאשר לוחצים על כפתור 'MeowMeow' הגלוי, התוכנית פשוט מציגה הודעה בשם 'Meow Meow Meow', ואינה מבצעת פעילות זדונית. התנהגות זו משמשת כפיתיון משני שמטרתו להטעות אנליסטים במהלך בדיקה ידנית.

הפונקציונליות הזדונית בפועל מופעלת רק בתנאים ספציפיים. יש להפעיל את קובץ ההפעלה עם פרמטר מסוים (-v) המסופק במהלך שרשרת ההדבקה, ועליו לאשר שהוא פועל בנקודת קצה אמיתית ולא בסביבת ניתוח.

הגנות נגד ניתוח ויכולות תפעוליות

לפני הפעלת יכולות הדלת האחורית שלה, הנוזקה בודקת האם כלי אבטחה או ניטור פורנזי פועלים. הביצוע נעצר אם מזוהים יישומים כמו Wireshark, Procmon, Ollydbg או Fiddler, מה שמסבך עוד יותר את מאמצי הניתוח.

לאחר הפעלתה, הדלת האחורית של MeowMeow מספקת לתוקפים מספר יכולות:

• ביצוע מרחוק של פקודות PowerShell על המארח הפגוע
• מניפולציה של מערכת הקבצים, כולל קריאה, כתיבה ומחיקה של קבצים

פונקציות אלו מאפשרות לתוקפים לבצע פעולות המשך כגון איסוף נתונים, תנועה רוחבית או פריסת מטען נוספת.

ממצאים בשפה הרוסית בקוד הזדוני

במהלך חקירתם, גילו החוקרים מחרוזות בשפה הרוסית המוטמעות בקוד המקור של הנוזקה, מה שמחזק את הייחוס לגורם איום דובר רוסית.

נוכחותם של ממצאים אלה עשויה להצביע על אחת משתי אפשרויות. ייתכן שהתוקפים ביצעו פיקוח אבטחתי תפעולי בכך שלא התאימו את הקוד לסביבה האוקראינית. לחלופין, המחרוזות עשויות לייצג ממצאי פיתוח שהושארו שלא במתכוון במהלך תהליך יצירת הנוזקה.

ללא קשר לסיבה, אינדיקטורים לשוניים אלה תורמים להערכת הייחוס הרחבה יותר המקשרת את הקמפיין לפעולות סייבר רוסיות.