Ponuda s popustom na više licenci
Baza prijetnji Stražnja vrata MeowMeow Stražnja vrata

MeowMeow Stražnja vrata

Do Mezo. Stražnja vrata, Napredna trajna prijetnja (APT). godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su prethodno nedokumentiranu obitelj zlonamjernog softvera pod nazivom MeowMeow, raspoređenu u kibernetičkoj kampanji usmjerenoj na ukrajinske organizacije. Operacija pokazuje strukturirani lanac zaraze i korištenje višeslojnih tehnika obmane za kompromitiranje sustava i održavanje njihove trajnosti.

Na temelju više pokazatelja, kampanja se s umjerenom pouzdanošću pripisuje ruskom državnom akteru prijetnje APT28. Ova procjena temelji se na obrascima ciljanja kampanje, geopolitičkim temama ugrađenim u mamce i tehničkim sličnostima s ranijim ruskim kibernetičkim operacijama.

Ulazna točka za krađu identiteta i početni mehanizam praćenja

Slijed napada započinje pažljivo izrađenom phishing e-poštom dizajniranom da izgleda vjerodostojno. Poruka je poslana s adrese povezane s ukr.net, taktikom vjerojatno namijenjenom povećanju povjerenja među ukrajinskim primateljima.

U e-poruci se nalazi poveznica koja tvrdi da vodi do ZIP arhive. Kada žrtva klikne na poveznicu, preglednik ne preuzima odmah datoteku. Umjesto toga, učitava izuzetno malu sliku koja funkcionira kao piksel za praćenje, signalizirajući napadačima da je poveznica otvorena. Nakon ovog koraka potvrde, žrtva se preusmjerava na drugi URL gdje se konačno preuzima zlonamjerna ZIP arhiva.

Obmana putem lažnog vladinog dokumenta

Nakon što se arhiva raspakira, lanac infekcije pokreće HTML aplikaciju (HTA) datoteku. HTA istovremeno izvršava dvije radnje:

  • Prikazuje dokument za primamljivanje napisan na ukrajinskom jeziku vezan uz žalbe na prelazak granice.
  • Pokreće dodatne zlonamjerne procese u pozadini.

Dokument djeluje kao mehanizam socijalnog inženjeringa predstavljajući ono što se čini kao potvrda primitka vladine žalbe u vezi s postupcima prelaska granice. Ova pažljivo izrađena priča pojačava iluziju legitimnosti dok se zlonamjerna aktivnost nevidljivo nastavlja.

Izbjegavanje sandboxa i validacija sustava

Prije nego što nastavi s procesom zaraze, zlonamjerni softver provodi provjere kako bi utvrdio izvršava li se u kontroliranom okruženju za analizu.

HTA ispituje ključ registra sustava Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate kako bi procijenio koliko je dugo operativni sustav instaliran. Ako je sustav mlađi od deset dana, što je uobičajena karakteristika sandbox okruženja, zlonamjerni softver prekida izvršavanje. Ovaj korak pomaže napadačima da izbjegnu otkrivanje od strane automatiziranih sustava za analizu zlonamjernog softvera.

Mehanizmi za raspoređivanje i trajnost korisnog tereta

Ako sustav prođe provjere okruženja, zlonamjerni softver nastavlja s izdvajanjem dodatnih komponenti iz preuzete ZIP arhive. Dohvaćaju se dvije datoteke: VBScript datoteka i PNG slika koja sadrži skriveni kod. Ove se datoteke zapisuju na disk pod novim nazivima datoteka.

Upornost se postiže stvaranjem zakazanog zadatka koji automatski izvršava VBScript. Primarna svrha skripte je izdvajanje zlonamjernog koda skrivenog unutar PNG datoteke. Ovaj ugrađeni teret je obfuscirani .NET loader poznat kao BadPaw, koji zatim pokreće komunikaciju s udaljenim poslužiteljem za naredbe i kontrolu.

BadPaw Loader i MeowMeow stražnja vrata

BadPaw loader služi kao posrednička komponenta odgovorna za preuzimanje dodatnih modula zlonamjernog softvera. Njegov glavni cilj je dohvatiti i instalirati izvršnu datoteku s backdoorom pod nazivom MeowMeow.

Aplikacija MeowMeow uključuje neobičnu značajku odvlačenja pažnje unutar svog grafičkog sučelja. Kada se klikne vidljivi gumb 'MeowMeow', program jednostavno prikazuje poruku 'Meow Meow Meow Meow', ne izvodeći nikakvu zlonamjernu aktivnost. Ovo ponašanje djeluje kao sekundarni mamac namijenjen zavaravanju analitičara tijekom ručne inspekcije.

Stvarna zlonamjerna funkcionalnost aktivira se samo pod određenim uvjetima. Izvršna datoteka mora se pokrenuti s određenim parametrom (-v) koji se navodi tijekom lanca infekcije i mora potvrditi da se izvršava na stvarnoj krajnjoj točki, a ne u okruženju za analizu.

Zaštita od analize i operativne mogućnosti

Prije aktiviranja svojih backdoor mogućnosti, zlonamjerni softver provjerava jesu li pokrenuti sigurnosni ili forenzički alati za nadzor. Izvršavanje se zaustavlja ako se otkriju aplikacije poput Wiresharka, Procmona, Ollydbg-a ili Fiddlera, što dodatno komplicira analizu.

Nakon aktivacije, MeowMeow backdoor pruža napadačima nekoliko mogućnosti:

  • Udaljeno izvršavanje PowerShell naredbi na kompromitiranom hostu
  • Manipulacija datotečnim sustavom, uključujući čitanje, pisanje i brisanje datoteka

Ove funkcije omogućuju napadačima izvođenje naknadnih operacija kao što su prikupljanje podataka, lateralno kretanje ili daljnje postavljanje korisnog tereta.

Ruski jezični artefakti u kodu zlonamjernog softvera

Tijekom istrage, istraživači su otkrili nizove znakova na ruskom jeziku ugrađene u izvorni kod zlonamjernog softvera, što pojačava atribuciju prijetnje ruskom govornom području.

Prisutnost ovih artefakata može ukazivati na jednu od dvije mogućnosti. Napadači su možda počinili propust u operativnoj sigurnosti time što nisu lokalizirali kod za ukrajinsko okruženje. Alternativno, nizovi znakova mogu predstavljati razvojne artefakte nenamjerno ostavljene tijekom procesa stvaranja zlonamjernog softvera.

Bez obzira na uzrok, ovi lingvistički pokazatelji doprinose široj procjeni atribucije koja povezuje kampanju s ruskim kibernetičkim operacijama.

U trendu

Nagledanije

Učitavam...