MiaoMioPorta sul retro
I ricercatori di sicurezza informatica hanno scoperto una famiglia di malware precedentemente non documentata, denominata MeowMeow, utilizzata in una campagna informatica mirata a organizzazioni ucraine. L'operazione dimostra una catena di infezione strutturata e l'uso di tecniche di inganno a più livelli per compromettere i sistemi e mantenerli persistenti.
Sulla base di molteplici indicatori, la campagna è stata attribuita con moderata sicurezza all'organizzazione terroristica sponsorizzata dallo Stato russo APT28. Questa valutazione si basa sui modelli di targeting della campagna, sui temi geopolitici insiti nelle esche e sulle somiglianze tecniche con precedenti operazioni informatiche russe.
Sommario
Punto di ingresso del phishing e meccanismo di tracciamento iniziale
La sequenza di attacco inizia con un'e-mail di phishing accuratamente studiata per apparire credibile. Il messaggio viene inviato da un indirizzo associato a ukr.net, una tattica probabilmente mirata ad aumentare la fiducia dei destinatari ucraini.
All'interno dell'e-mail è presente un link che apparentemente conduce a un archivio ZIP. Quando la vittima clicca sul link, il browser non scarica immediatamente il file. Carica invece un'immagine estremamente piccola che funge da pixel di tracciamento, segnalando agli aggressori che il link è stato aperto. Dopo questa fase di conferma, la vittima viene reindirizzata a un altro URL dove viene infine scaricato l'archivio ZIP dannoso.
Inganno tramite un documento governativo escamotage
Una volta estratto l'archivio, la catena di infezione avvia un file HTML Application (HTA). L'HTA esegue simultaneamente due azioni:
- Mostra un documento escamotage scritto in ucraino relativo ai ricorsi per l'attraversamento della frontiera.
- Avvia ulteriori processi dannosi in background.
Il documento agisce come un meccanismo di ingegneria sociale presentando quella che sembra una conferma di ricezione di un ricorso governativo riguardante le procedure di attraversamento delle frontiere. Questa narrazione accuratamente elaborata rafforza l'illusione di legittimità, mentre le attività illecite continuano inosservate.
Evasione della sandbox e convalida del sistema
Prima di procedere con il processo di infezione, il malware esegue dei controlli per determinare se è in esecuzione in un ambiente di analisi controllato.
L'HTA interroga la chiave del Registro di sistema di Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate per stimare da quanto tempo è installato il sistema operativo. Se il sistema ha meno di dieci giorni, una caratteristica comune negli ambienti sandbox, l'esecuzione del malware viene interrotta. Questo passaggio aiuta gli aggressori a evitare il rilevamento da parte dei sistemi di analisi automatica del malware.
Meccanismi di distribuzione e persistenza del payload
Se il sistema supera i controlli ambientali, il malware procede a estrarre componenti aggiuntivi dall'archivio ZIP scaricato. Vengono recuperati due file: un file VBScript e un'immagine PNG contenente codice nascosto. Questi file vengono scritti su disco con nuovi nomi.
La persistenza si ottiene creando un'attività pianificata che esegue automaticamente il VBScript. Lo scopo principale dello script è estrarre il codice dannoso nascosto nel file PNG. Questo payload incorporato è un loader .NET offuscato noto come BadPaw, che avvia quindi la comunicazione con un server di comando e controllo remoto.
BadPaw Loader e la porta sul retro MeowMeow
Il loader BadPaw funge da componente intermedio responsabile del download di moduli malware aggiuntivi. Il suo obiettivo principale è recuperare e distribuire un eseguibile backdoor denominato MeowMeow.
L'applicazione MeowMeow include un'insolita funzionalità di distrazione all'interno della sua interfaccia grafica. Quando si clicca sul pulsante visibile "MeowMeow", il programma visualizza semplicemente il messaggio "Meow Meow Meow", senza eseguire alcuna attività dannosa. Questo comportamento funge da esca secondaria, con lo scopo di fuorviare gli analisti durante l'ispezione manuale.
La funzionalità dannosa effettiva viene attivata solo in determinate condizioni. L'eseguibile deve essere avviato con un parametro specifico (-v) fornito durante la catena di infezione e deve confermare di essere in esecuzione su un endpoint reale e non su un ambiente di analisi.
Protezioni anti-analisi e capacità operative
Prima di attivare le sue capacità backdoor, il malware verifica se sono in esecuzione strumenti di sicurezza o di monitoraggio forense. L'esecuzione viene interrotta se vengono rilevate applicazioni come Wireshark, Procmon, Ollydbg o Fiddler, complicando ulteriormente gli sforzi di analisi.
Una volta attivata, la backdoor MeowMeow fornisce agli aggressori diverse funzionalità:
- Esecuzione remota dei comandi PowerShell sull'host compromesso
- Manipolazione del file system, inclusa la lettura, la scrittura e l'eliminazione dei file
Queste funzioni consentono agli aggressori di eseguire operazioni successive, come la raccolta di dati, lo spostamento laterale o l'ulteriore distribuzione del payload.
Artefatti in lingua russa nel codice malware
Nel corso delle loro indagini, i ricercatori hanno scoperto stringhe in lingua russa incorporate nel codice sorgente del malware, rafforzando l'attribuzione a un autore della minaccia di lingua russa.
La presenza di questi artefatti potrebbe indicare una di queste due possibilità. Gli aggressori potrebbero aver commesso una svista nella sicurezza operativa non riuscendo a localizzare il codice per l'ambiente ucraino. In alternativa, le stringhe potrebbero rappresentare artefatti di sviluppo lasciati involontariamente durante il processo di creazione del malware.
Indipendentemente dalla causa, questi indicatori linguistici contribuiscono alla più ampia valutazione dell'attribuzione che collega la campagna alle operazioni informatiche russe.
