MeowMeow बैकडोर

साइबर सुरक्षा शोधकर्ताओं ने MeowMeow नामक एक अज्ञात मैलवेयर परिवार का पता लगाया है, जिसे यूक्रेनी संगठनों को निशाना बनाकर चलाए गए एक साइबर अभियान में तैनात किया गया था। यह ऑपरेशन एक सुनियोजित संक्रमण श्रृंखला और सिस्टम को भेदने और निरंतर प्रभाव बनाए रखने के लिए स्तरित धोखे की तकनीकों के उपयोग को दर्शाता है।

कई संकेतकों के आधार पर, इस अभियान को रूसी राज्य-प्रायोजित साइबर गिरोह APT28 से जोड़ा गया है, और इस आकलन में मध्यम स्तर की विश्वसनीयता है। यह आकलन अभियान के लक्ष्यीकरण पैटर्न, प्रलोभनों में निहित भू-राजनीतिक विषयों और पहले के रूसी साइबर अभियानों से तकनीकी समानताओं पर आधारित है।

फ़िशिंग का प्रवेश बिंदु और प्रारंभिक ट्रैकिंग तंत्र

हमले की शुरुआत सावधानीपूर्वक तैयार किए गए एक विश्वसनीय दिखने वाले फ़िशिंग ईमेल से होती है। यह संदेश ukr.net से जुड़े एक पते से भेजा जाता है, जिसका उद्देश्य संभवतः यूक्रेनी प्राप्तकर्ताओं के बीच विश्वास बढ़ाना है।

ईमेल में एक लिंक दिया गया है जो ज़िप फ़ाइल खोलने का दावा करता है। जब पीड़ित इस लिंक पर क्लिक करता है, तो ब्राउज़र तुरंत फ़ाइल डाउनलोड नहीं करता। इसके बजाय, यह एक बहुत छोटी छवि लोड करता है जो ट्रैकिंग पिक्सेल के रूप में काम करती है और हमलावरों को संकेत देती है कि लिंक खोला गया है। इस पुष्टि के बाद, पीड़ित को एक दूसरे यूआरएल पर रीडायरेक्ट कर दिया जाता है जहाँ अंततः दुर्भावनापूर्ण ज़िप फ़ाइल डाउनलोड हो जाती है।

सरकारी दस्तावेज़ के माध्यम से छल करना

आर्काइव निकालने के बाद, संक्रमण श्रृंखला एक एचटीएमएल एप्लिकेशन (एचटीए) फ़ाइल लॉन्च करती है। एचटीए एक साथ दो क्रियाएं करती है:

• सीमा पार करने की अपीलों से संबंधित यूक्रेनी भाषा में लिखा एक प्रलोभन दस्तावेज प्रदर्शित किया गया है।
• यह पृष्ठभूमि में अतिरिक्त दुर्भावनापूर्ण प्रक्रियाओं को प्रारंभ करता है।

यह दस्तावेज़ सीमा पारगमन प्रक्रियाओं से संबंधित सरकारी अपील की प्राप्ति की पुष्टि के रूप में प्रस्तुत करके एक सामाजिक इंजीनियरिंग तंत्र के रूप में कार्य करता है। यह सुनियोजित विवरण वैधता का भ्रम पैदा करता है जबकि दुर्भावनापूर्ण गतिविधियाँ पर्दे के पीछे जारी रहती हैं।

सैंडबॉक्स से बचाव और सिस्टम सत्यापन

संक्रमण प्रक्रिया को आगे बढ़ाने से पहले, मैलवेयर यह निर्धारित करने के लिए जांच करता है कि क्या यह एक नियंत्रित विश्लेषण वातावरण में चल रहा है।

HTA ऑपरेटिंग सिस्टम की स्थापना की अवधि का अनुमान लगाने के लिए विंडोज रजिस्ट्री कुंजी HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate की जाँच करता है। यदि सिस्टम दस दिन से कम पुराना है, जो सैंडबॉक्स वातावरण की एक सामान्य विशेषता है, तो मैलवेयर अपना निष्पादन समाप्त कर देता है। यह कदम हमलावरों को स्वचालित मैलवेयर विश्लेषण प्रणालियों द्वारा पकड़े जाने से बचने में मदद करता है।

पेलोड परिनियोजन और निरंतरता तंत्र

यदि सिस्टम पर्यावरण जांच में सफल हो जाता है, तो मैलवेयर डाउनलोड किए गए ज़िप आर्काइव से अतिरिक्त घटक निकालने की प्रक्रिया शुरू कर देता है। दो फाइलें प्राप्त की जाती हैं: एक वीबीस्क्रिप्ट फाइल और एक पीएनजी छवि जिसमें छिपा हुआ कोड होता है। इन फाइलों को नए नाम से डिस्क पर सहेजा जाता है।

VBScript को स्वचालित रूप से निष्पादित करने वाला एक निर्धारित कार्य बनाकर निरंतरता सुनिश्चित की जाती है। इस स्क्रिप्ट का मुख्य उद्देश्य PNG फ़ाइल में छिपे दुर्भावनापूर्ण कोड को निकालना है। यह एम्बेडेड पेलोड एक अस्पष्ट .NET लोडर है जिसे BadPaw के नाम से जाना जाता है, जो फिर एक दूरस्थ कमांड-एंड-कंट्रोल सर्वर के साथ संचार शुरू करता है।

बैडपॉ लोडर और म्याऊम्याऊ बैकडोर

बैडपॉ लोडर एक मध्यवर्ती घटक के रूप में कार्य करता है जो अतिरिक्त मैलवेयर मॉड्यूल डाउनलोड करने के लिए जिम्मेदार है। इसका मुख्य उद्देश्य मीओमीओ नामक एक बैकडोर निष्पादन योग्य फ़ाइल को प्राप्त करना और उसे तैनात करना है।

MeowMeow एप्लिकेशन के ग्राफ़िकल इंटरफ़ेस में एक असामान्य ध्यान भटकाने वाली सुविधा मौजूद है। जब दिखाई देने वाले 'MeowMeow' बटन पर क्लिक किया जाता है, तो प्रोग्राम केवल 'Meow Meow Meow' संदेश प्रदर्शित करता है, और कोई दुर्भावनापूर्ण गतिविधि नहीं करता है। यह व्यवहार मैन्युअल निरीक्षण के दौरान विश्लेषकों को गुमराह करने के लिए एक द्वितीयक छलावा के रूप में कार्य करता है।

वास्तविक दुर्भावनापूर्ण कार्यक्षमता केवल विशिष्ट परिस्थितियों में ही सक्रिय होती है। निष्पादन योग्य फ़ाइल को संक्रमण श्रृंखला के दौरान दिए गए एक विशेष पैरामीटर (-v) के साथ लॉन्च किया जाना चाहिए, और इसे यह पुष्टि करनी चाहिए कि यह किसी विश्लेषण वातावरण के बजाय एक वास्तविक एंडपॉइंट पर चल रही है।

विश्लेषण-विरोधी सुरक्षा और परिचालन क्षमताएँ

बैकडोर क्षमताओं को सक्रिय करने से पहले, मैलवेयर यह जांचता है कि क्या सुरक्षा या फोरेंसिक निगरानी उपकरण चल रहे हैं। यदि Wireshark, Procmon, Ollydbg या Fiddler जैसे एप्लिकेशन पाए जाते हैं, तो निष्पादन रोक दिया जाता है, जिससे विश्लेषण और भी जटिल हो जाता है।

एक बार सक्रिय हो जाने पर, MeowMeow बैकडोर हमलावरों को कई क्षमताएं प्रदान करता है:

• प्रभावित होस्ट पर पॉवरशेल कमांड का रिमोट निष्पादन
• फाइल सिस्टम में हेरफेर करना, जिसमें फाइलों को पढ़ना, लिखना और हटाना शामिल है।

ये फ़ंक्शन हमलावरों को डेटा संग्रह, पार्श्व गति या आगे पेलोड परिनियोजन जैसी अनुवर्ती कार्रवाइयां करने की अनुमति देते हैं।

मैलवेयर कोड में रूसी भाषा के आर्टिफैक्ट्स

अपनी जांच के दौरान, शोधकर्ताओं ने मैलवेयर के सोर्स कोड में रूसी भाषा के स्ट्रिंग्स पाए, जिससे रूसी भाषी हमलावर की भूमिका की पुष्टि और मजबूत हुई।

इन कलाकृतियों की उपस्थिति दो संभावनाओं में से एक का संकेत दे सकती है। हमलावरों ने यूक्रेनी वातावरण के लिए कोड का स्थानीयकरण न करके परिचालन सुरक्षा में चूक की हो सकती है। या फिर, ये स्ट्रिंग्स मैलवेयर के निर्माण प्रक्रिया के दौरान अनजाने में छूटी हुई विकास संबंधी कलाकृतियों का प्रतिनिधित्व कर सकती हैं।

कारण चाहे जो भी हो, ये भाषाई संकेतक व्यापक आकलन में योगदान करते हैं जो इस अभियान को रूसी साइबर अभियानों से जोड़ता है।