Vairāku licenču atlaides piedāvājums
Draudu datu bāze Aizmugures durvis MeowMeow Backdoor

MeowMeow Backdoor

Līdz Mezo. gadam Aizmugures durvis, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši iepriekš nedokumentētu ļaunprogrammatūru saimi ar nosaukumu MeowMeow, kas tika izmantota kiberkampaņā, kuras mērķis bija Ukrainas organizācijas. Operācija demonstrē strukturētu inficēšanas ķēdi un daudzslāņainu maldināšanas metožu izmantošanu, lai kompromitētu sistēmas un saglabātu to noturību.

Balstoties uz vairākiem rādītājiem, kampaņa ar mērenu pārliecību tiek attiecināta uz Krievijas valsts sponsorēto apdraudējumu aktoru APT28. Šis novērtējums balstās uz kampaņas mērķauditorijas atlases modeļiem, ēsmās ietvertajām ģeopolitiskajām tēmām un tehniskajām līdzībām ar iepriekšējām Krievijas kiberoperācijām.

Pikšķerēšanas ieejas punkts un sākotnējais izsekošanas mehānisms

Uzbrukuma secība sākas ar rūpīgi izstrādātu pikšķerēšanas e-pastu, kas veidots tā, lai izskatītos ticams. Ziņojums tiek nosūtīts no adreses, kas saistīta ar ukr.net, un šī taktika, visticamāk, ir paredzēta, lai palielinātu uzticību starp Ukrainas adresātiem.

E-pastā ir saite, kas apgalvo, ka ved uz ZIP arhīvu. Kad upuris noklikšķina uz saites, pārlūkprogramma nekavējoties nelejupielādē failu. Tā vietā tā ielādē ļoti mazu attēlu, kas darbojas kā izsekošanas pikselis, signalizējot uzbrucējiem, ka saite ir atvērta. Pēc šīs apstiprināšanas darbības upuris tiek novirzīts uz citu URL, kur beidzot tiek lejupielādēts ļaunprātīgais ZIP arhīvs.

Maldināšana, izmantojot mānīgu valdības dokumentu

Kad arhīvs ir izvilkts, inficēšanas ķēde palaiž HTML lietojumprogrammas (HTA) failu. HTA vienlaikus veic divas darbības:

  • Parāda ukraiņu valodā rakstītu pievilināšanas dokumentu, kas saistīts ar robežšķērsošanas aicinājumiem.
  • Fonā uzsāk papildu ļaunprātīgus procesus.

Dokuments darbojas kā sociālās inženierijas mehānisms, iesniedzot, šķiet, apstiprinājumu par valdības apelācijas saņemšanu attiecībā uz robežšķērsošanas procedūrām. Šis rūpīgi izstrādātais naratīvs pastiprina leģitimitātes ilūziju, kamēr ļaunprātīga darbība turpinās nemanāmi.

Smilškastes apiešana un sistēmas validācija

Pirms inficēšanas procesa turpināšanas ļaunprogrammatūra veic pārbaudes, lai noteiktu, vai tā darbojas kontrolētā analīzes vidē.

HTA veic vaicājumu Windows reģistra atslēgai HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate, lai novērtētu, cik ilgi operētājsistēma ir instalēta. Ja sistēma ir jaunāka par desmit dienām, kas ir izplatīta smilškastes vides iezīme, ļaunprogrammatūra pārtrauc izpildi. Šis solis palīdz uzbrucējiem izvairīties no atklāšanas ar automatizētām ļaunprogrammatūras analīzes sistēmām.

Derīgās slodzes izvietošanas un noturības mehānismi

Ja sistēma iztur vides pārbaudes, ļaunprogrammatūra turpina iegūt papildu komponentus no lejupielādētā ZIP arhīva. Tiek izgūti divi faili: VBScript fails un PNG attēls, kas satur slēptu kodu. Šie faili tiek ierakstīti diskā ar jauniem failu nosaukumiem.

Noturība tiek panākta, izveidojot ieplānotu uzdevumu, kas automātiski izpilda VBScript. Skripta galvenais mērķis ir iegūt ļaunprātīgo kodu, kas paslēpts PNG failā. Šī iegultā lietderīgā slodze ir apmulsināts .NET ielādētājs, kas pazīstams kā BadPaw, kas pēc tam sāk saziņu ar attālo komandu un vadības serveri.

BadPaw Loader un MeowMeow aizmugurējās durvis

BadPaw ielādētājs kalpo kā starpposma komponents, kas atbild par papildu ļaunprogrammatūras moduļu lejupielādi. Tā galvenais mērķis ir izgūt un izvietot aizmugurējās durvis izpildāmo failu ar nosaukumu MeowMeow.

Lietotnes MeowMeow grafiskajā saskarnē ir iekļauta neparasta uzmanības novēršanas funkcija. Noklikšķinot uz redzamās pogas “MeowMeow”, programma vienkārši parāda ziņojumu ar uzrakstu “Meow Meow Meow”, neveicot nekādas ļaunprātīgas darbības. Šī uzvedība darbojas kā sekundārs māneklis, kas paredzēts, lai maldinātu analītiķus manuālas pārbaudes laikā.

Faktiskā ļaunprātīgā funkcionalitāte tiek aktivizēta tikai noteiktos apstākļos. Izpildfails ir jāpalaiž ar noteiktu parametru (-v), kas tiek nodrošināts inficēšanas ķēdes laikā, un tam ir jāapstiprina, ka tas darbojas reālā galapunktā, nevis analīzes vidē.

Antianalīžu aizsardzība un operacionālās iespējas

Pirms aizmugures durvju iespēju aktivizēšanas ļaunprogrammatūra pārbauda, vai darbojas drošības vai forenzikas uzraudzības rīki. Izpilde tiek apturēta, ja tiek atklātas tādas lietojumprogrammas kā Wireshark, Procmon, Ollydbg vai Fiddler, kas vēl vairāk sarežģī analīzes centienus.

Kad MeowMeow aizmugurējā durvis ir aktivizētas, tās uzbrucējiem nodrošina vairākas iespējas:

  • PowerShell komandu attālināta izpilde apdraudētajā resursdatorā
  • Failu sistēmas manipulācija, tostarp failu lasīšana, rakstīšana un dzēšana

Šīs funkcijas ļauj uzbrucējiem veikt turpmākas darbības, piemēram, datu vākšanu, sānu pārvietošanu vai tālāku vērtuma izvietošanu.

Krievu valodas artefakti ļaunprogrammatūras kodā

Izmeklēšanas laikā pētnieki ļaunprogrammatūras pirmkodā atklāja krievu valodas virknes, kas pastiprināja pieņēmumu, ka tas ir saistīts ar krieviski runājošu apdraudējuma dalībnieku.

Šo artefaktu klātbūtne var norādīt uz vienu no divām iespējām. Uzbrucēji, iespējams, ir pieļāvuši operacionālās drošības kļūdu, nespējot lokalizēt kodu Ukrainas videi. Alternatīvi, virknes var attēlot izstrādes artefaktus, kas netīšām atstāti ļaunprogrammatūras izveides procesā.

Neatkarīgi no cēloņa, šīs lingvistiskās norādes veicina plašāku attiecināšanas novērtējumu, sasaistot kampaņu ar Krievijas kiberoperācijām.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
22,467
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...