Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Užpakalinės durys MeowMeow galinės durys

MeowMeow galinės durys

Autorius Mezo, Užpakalinės durys, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Kibernetinio saugumo tyrėjai atskleidė anksčiau nedokumentuotą kenkėjiškų programų šeimą, vadinamą „MeowMeow“, kuri buvo panaudota kibernetinėje kampanijoje, nukreiptoje prieš Ukrainos organizacijas. Operacija demonstruoja struktūrizuotą užkrėtimo grandinę ir daugiasluoksnių apgaulės metodų naudojimą sistemoms užkrėsti ir išlaikyti jų atsparumą virusams.

Remiantis keliais rodikliais, kampanija su vidutiniu pasitikėjimu buvo priskirta Rusijos valstybės remiamam grėsmės veikėjui APT28. Šis vertinimas remiasi kampanijos taikinių modeliais, geopolitinėmis temomis, įpintais į jaukus, ir techniniais panašumais su ankstesnėmis Rusijos kibernetinėmis operacijomis.

Sukčiavimo apsimetant duomenimis įėjimo taškas ir pradinis sekimo mechanizmas

Atakos seka prasideda kruopščiai parengtu sukčiavimo el. laišku, kuris atrodo patikimas. Žinutė išsiųsta iš adreso, susijusio su ukr.net – taktika, kuria greičiausiai siekiama padidinti pasitikėjimą tarp ukrainiečių gavėjų.

El. laiške yra nuoroda, tariamai nukreipianti į ZIP archyvą. Kai auka spusteli nuorodą, naršyklė iš karto neatsisiunčia failo. Vietoj to, ji įkelia itin mažą paveikslėlį, kuris veikia kaip sekimo pikselis, signalizuojantis užpuolikams, kad nuoroda buvo atidaryta. Po šio patvirtinimo veiksmo auka nukreipiama į kitą URL, kur galiausiai atsisiunčiamas kenkėjiškas ZIP archyvas.

Apgaulė naudojant masalo vyriausybės dokumentą

Išskleidus archyvą, užkrėtimo grandinė paleidžia HTML programos (HTA) failą. HTA vienu metu atlieka du veiksmus:

  • Rodomas ukrainiečių kalba parašyto viliojimo dokumento, susijusio su sienos kirtimo apeliacijomis, turinys.
  • Fone inicijuoja papildomus kenkėjiškus procesus.

Dokumentas veikia kaip socialinės inžinerijos mechanizmas, pateikdamas tai, kas atrodo kaip vyriausybės kreipimosi dėl sienos kirtimo procedūrų gavimo patvirtinimas. Šis kruopščiai parengtas naratyvas sustiprina teisėtumo iliuziją, o kenkėjiška veikla tęsiasi nepastebimai.

Smėlio dėžės apėjimas ir sistemos patvirtinimas

Prieš tęsdama užkrėtimo procesą, kenkėjiška programa atlieka patikrinimus, kad nustatytų, ar ji veikia kontroliuojamoje analizės aplinkoje.

HTA pateikia užklausą „Windows“ registro rakte HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, kad įvertintų, kiek laiko operacinė sistema buvo įdiegta. Jei sistema yra jaunesnė nei dešimt dienų (tai būdinga smėlio dėžės aplinkoms), kenkėjiška programa nutraukia vykdymą. Šis žingsnis padeda užpuolikams išvengti aptikimo automatizuotomis kenkėjiškų programų analizės sistemomis.

Naudingosios apkrovos diegimo ir išlaikymo mechanizmai

Jei sistema praeina aplinkos patikrą, kenkėjiška programa iš atsisiųsto ZIP archyvo išskleidžia papildomus komponentus. Gaunami du failai: VBScript failas ir PNG paveikslėlis su paslėptu kodu. Šie failai įrašomi į diską naujais pavadinimais.

Nuolatiškumas pasiekiamas sukuriant suplanuotą užduotį, kuri automatiškai vykdo VBScript. Pagrindinis scenarijaus tikslas – išgauti kenkėjišką kodą, paslėptą PNG faile. Ši įterptoji apkrova yra užmaskuota .NET įkėlimo programa, žinoma kaip BadPaw, kuri tada inicijuoja ryšį su nuotoliniu komandų ir valdymo serveriu.

„BadPaw Loader“ ir „MeowMeow“ galinės durys

„BadPaw“ įkėlėjas veikia kaip tarpinis komponentas, atsakingas už papildomų kenkėjiškų programų modulių atsisiuntimą. Jo pagrindinis tikslas – nuskaityti ir įdiegti vykdomąjį failą „backdoor“, vadinamą „MeowMeow“.

„MeowMeow“ programos grafinėje sąsajoje yra neįprasta dėmesio atitraukimo funkcija. Paspaudus matomą mygtuką „MeowMeow“, programa tiesiog parodo pranešimą „Meow Meow Meow“ ir neatlieka jokios kenkėjiškos veiklos. Toks elgesys veikia kaip antrinis masalas, skirtas suklaidinti analitikus rankinio patikrinimo metu.

Tikrasis kenkėjiškas funkcionalumas suaktyvinamas tik tam tikromis sąlygomis. Vykdomasis failas turi būti paleistas su konkrečiu parametru (-v) užkrėtimo grandinės metu ir turi patvirtinti, kad jis veikia realiame galiniame taške, o ne analizės aplinkoje.

Apsaugos nuo analizės priemonės ir operacinės galimybės

Prieš aktyvuodama „backdoor“ funkcijas, kenkėjiška programa patikrina, ar veikia saugumo arba teismo ekspertizės stebėjimo įrankiai. Vykdymas sustabdomas, jei aptinkamos tokios programos kaip „Wireshark“, „Procmon“, „Ollydbg“ arba „Fiddler“, o tai dar labiau apsunkina analizės pastangas.

Aktyvavus „MeowMeow“ galines duris, užpuolikai gauna keletą galimybių:

  • Nuotolinis „PowerShell“ komandų vykdymas pažeistame pagrindiniame kompiuteryje
  • Failų sistemos manipuliavimas, įskaitant failų skaitymą, rašymą ir ištrynimą

Šios funkcijos leidžia užpuolikams atlikti tolesnes operacijas, pvz., rinkti duomenis, perkelti duomenis į šonus arba toliau platinti naudingąją apkrovą.

Rusų kalbos artefaktai kenkėjiškų programų kode

Tyrimo metu tyrėjai kenkėjiškos programos šaltinio kode aptiko rusų kalbos eilučių, kurios sustiprina prielaidą, kad virusą sukėlė rusakalbis kenkėjas.

Šių artefaktų buvimas gali rodyti vieną iš dviejų galimybių. Užpuolikai galėjo įvykdyti operacinio saugumo klaidą, nesugebėdami lokalizuoti kodo Ukrainos aplinkai. Arba eilutės gali reikšti kūrimo artefaktus, netyčia paliktus kenkėjiškos programos kūrimo proceso metu.

Nepriklausomai nuo priežasties, šie lingvistiniai rodikliai prisideda prie platesnio priskyrimo vertinimo, siejančio kampaniją su Rusijos kibernetinėmis operacijomis.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
22,467
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...