Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Hátsó ajtók MiauMiau hátsó ajtó

MiauMiau hátsó ajtó

Mezo -ra Hátsó ajtók, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Kiberbiztonsági kutatók lelepleztek egy korábban nem dokumentált, MeowMeow nevű kártevőcsaládot, amelyet egy ukrán szervezeteket célzó kiberkampányban vetettek be. A művelet egy strukturált fertőzési láncot és többrétegű megtévesztési technikák alkalmazását demonstrálja a rendszerek feltörése és a vírusok fennmaradásának fenntartása érdekében.

Több mutató alapján mérsékelt bizonyossággal az orosz állam által támogatott APT28 fenyegető szereplőhöz kötik a kampányt. Ez az értékelés a kampány célzási mintáira, a csalikra épülő geopolitikai témákra és a korábbi orosz kiberműveletekkel való technikai hasonlóságokra támaszkodik.

Adathalászat belépési pontja és kezdeti követési mechanizmus

A támadássorozat egy gondosan összeállított, hihetőnek tűnő adathalász e-maillel kezdődik. Az üzenet egy ukr.net-hez kapcsolódó címről érkezik, ami valószínűleg az ukrán címzettek bizalmának növelését célozza.

Az e-mailben egy ZIP archívumra mutató link található. Amikor az áldozat rákattint a linkre, a böngésző nem tölti le azonnal a fájlt. Ehelyett egy rendkívül kicsi képet tölt be, amely nyomkövető pixelként működik, jelezve a támadóknak, hogy a linket megnyitották. Ezt a megerősítési lépést követően az áldozatot egy másik URL-címre irányítják át, ahol végül letöltődik a rosszindulatú ZIP archívum.

Megtévesztés egy álcaként szolgáló kormányzati dokumentummal

Miután az archívum kibontásra került, a fertőzési lánc elindít egy HTML alkalmazásfájlt (HTA). A HTA egyidejűleg két műveletet hajt végre:

  • Megjelenít egy ukrán nyelvű csalogató dokumentumot, amely a határátlépési felhívásokhoz kapcsolódik.
  • További rosszindulatú folyamatokat indít a háttérben.

A dokumentum egyfajta társadalmi manipulációs mechanizmusként működik, mivel látszólag visszaigazolást nyújt a határátlépési eljárásokkal kapcsolatos kormányzati fellebbezés kézhezvételéről. Ez a gondosan kidolgozott narratíva megerősíti a legitimitás illúzióját, miközben a rosszindulatú tevékenység láthatatlanul folytatódik.

Sandbox Evasion és rendszerellenőrzés

A fertőzési folyamat folytatása előtt a rosszindulatú program ellenőrzéseket végez annak megállapítására, hogy ellenőrzött elemzési környezetben fut-e.

A HTA lekérdezi a HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate Windows rendszerleíró kulcsot, hogy megbecsülje, mennyi ideje van telepítve az operációs rendszer. Ha a rendszer kevesebb, mint tíz napos – ami a sandbox környezetek gyakori jellemzője –, a kártevő leállítja a végrehajtást. Ez a lépés segít a támadóknak elkerülni az automatizált kártevő-elemző rendszerek általi észlelést.

Hasznos teher telepítési és megőrzési mechanizmusok

Ha a rendszer átmegy a környezeti ellenőrzéseken, a kártevő további komponenseket kinyer a letöltött ZIP archívumból. Két fájlt nyer ki: egy VBScript fájlt és egy rejtett kódot tartalmazó PNG képet. Ezeket a fájlokat új fájlnevek alatt lemezre írja.

A perzisztenciát egy ütemezett feladat létrehozásával érik el, amely automatikusan végrehajtja a VBScriptet. A szkript elsődleges célja a PNG fájlban rejtőző rosszindulatú kód kinyerése. Ez a beágyazott hasznos adat egy BadPaw néven ismert obfuszkált .NET betöltő, amely ezután kommunikációt kezdeményez egy távoli parancs- és vezérlőkiszolgálóval.

BadPaw Loader és a MeowMeow hátsó ajtó

A BadPaw betöltő közvetítő komponensként szolgál, amely további kártevő modulok letöltéséért felelős. Fő célja egy MeowMeow nevű hátsó ajtó futtatható fájl lekérése és telepítése.

A MeowMeow alkalmazás grafikus felületén egy szokatlan figyelemelterelő funkció található. Amikor a látható „MeowMeow” gombra kattintunk, a program egyszerűen egy „Meow Meow Meow” üzenetet jelenít meg, és nem végez semmilyen rosszindulatú tevékenységet. Ez a viselkedés másodlagos csapdaként működik, amelynek célja az elemzők félrevezetése a manuális ellenőrzés során.

A tényleges rosszindulatú funkció csak bizonyos feltételek teljesülése esetén aktiválódik. A futtatható fájlt egy adott paraméterrel (-v) kell elindítani a fertőzési lánc során, és meg kell erősítenie, hogy egy valós végponton fut, nem pedig egy elemzési környezetben.

Elemzés elleni védelem és működési képességek

Mielőtt aktiválná a hátsó ajtó funkcióit, a rosszindulatú program ellenőrzi, hogy futnak-e biztonsági vagy forenzikus monitorozó eszközök. A végrehajtás leáll, ha olyan alkalmazásokat észlel, mint a Wireshark, a Procmon, az Ollydbg vagy a Fiddler, ami tovább bonyolítja az elemzési erőfeszítéseket.

Aktiválás után a MeowMeow hátsó ajtó számos képességet kínál a támadóknak:

  • PowerShell-parancsok távoli végrehajtása a feltört gazdagépen
  • Fájlrendszer-manipuláció, beleértve a fájlok olvasását, írását és törlését

Ezek a funkciók lehetővé teszik a támadók számára további műveletek végrehajtását, például adatgyűjtést, oldalirányú mozgást vagy további hasznos teher telepítését.

Orosz nyelvű elemek a kártevő kódban

A kutatók a kártevő forráskódjába ágyazott orosz nyelvű karakterláncokat fedeztek fel, ami megerősíti az oroszul beszélő fenyegetéshez való hozzárendelést.

Ezen műtermékek jelenléte két lehetőség egyikére utalhat. A támadók működési biztonsági hiányosságot követhettek el azáltal, hogy nem tudták lokalizálni a kódot az ukrán környezethez. Alternatív megoldásként a karakterláncok a rosszindulatú program létrehozási folyamata során véletlenül hátrahagyott fejlesztési műtermékeket jelenthetnek.

Függetlenül az októl, ezek a nyelvi mutatók hozzájárulnak a kampányt az orosz kiberműveletekhez kötni hivatott tágabb összefüggések felméréséhez.

Felkapott

Legnézettebb

Betöltés...